トップページ
Web運営
メールを暗号化していますか

メールを暗号化していますか

メールは、複数のメールサーバを経由して相手先の受信サーバに受信されるので、暗号化していないと、途中で第三者に窃取され、盗み見られる危険があります。一部のメールソフトでは、暗号化されないメールに対して警告を出します。自分が送ったメールが第三者に盗み見られないように、暗号化する必要があります。

Gmail で暗号化されていないメールを受信すると、ご覧のように、壊れた赤い南京錠が表示され、マスウオーバーすると、暗号化に対応していない送信サーバの名前が表示されます。

図1 暗号化されていないメールは警告が出る。

さらに Google は警告します。

赤い南京錠アイコンが付いた受信メールの中に特に機密性の高い情報がある場合、送信者に問題があることを知らせて、メールサービスプロバイダに問い合わせるように勧めてください。

Google
送受信時のメールの暗号化

メール暗号化のしくみ

メールの暗号化には、TLS と S/MIME の2段階があります。

TLS とは暗号化するプロトコルで、ホームページ (https) で使われる場合、SSL と呼ばれることが多く、メールサーバーに関しては、TLS と呼ばれています。じつは、SSL(Secure Sockets Layer) というのは古いバージョンの呼称で、現在のバージョンは TLS(Transport Layer Security) です。
受信サーバーと送信サーバーの双方が TLS 暗号化通信に対応している場合、そのメールは自動的に暗号化されて送信、そして受信されると、自動的に復号化されます。

S/MIME は、TLS 暗号化通信をさらに高度化したもので、送信先が公開キーを持っていないと、復号化できません。Gmail では、この S/MIME を採用しています。

しかし、一方が S/MIME や TLS を採用していても、相手方のメールサーバーが TLS に対応していなければ、メールを暗号化できず、平文のまま送受信することになります。

つまり、メールの場合、送受信する双方が暗号化していないと、暗号化通信できないのです。

暗号化されていないメールが危険な理由

メールが暗号化されていようがされていまいが、機密文書は圧縮してパスワードを掛けた添付ファイルにするから大丈夫、とタカをくくっていませんか?
機密文書でなくても、メール先が公官庁や金融機関など機密情報を扱う組織の人であれば、メールを盗み見るだけで、相手先のメールアドレスのみならず、あなたがその人とどのような関係で、日常的にどのようなやりとりしているか、分かってしまいます。
そうなれば、悪意を持つ第三者があなたになりすまし、ニセメールを発信して、ウイルス入りの添付ファイルを開かせたり、ニセサイトに誘導したりして、機密情報を扱う組織に攻撃を仕掛けることが可能になります。これが標的型攻撃メールです。

メールを暗号化しておかないと、あなたは標的型攻撃メールの片棒を担ぐことになりかねないのです。

なお、標的型メールで大きな被害を生じた事例をメールを暗号化していますか 2 で紹介しています。

メールサーバが TLS に対応しているか調べる方法

Google は、地域ごとに Gmail とのやりとりの多いドメイン10件の暗号化率を調査し、発表しています。
図はアジア地域で、Gmail へ送信することの多い上位10ドメインの暗号化率を示しています。ご覧のように、docomo、au、softbank など携帯キャリア各社は全滅。老舗プロバイダー ocn、nifty、また、無料メールとしてよく利用される yahoo メールも、全く暗号化されていないことがわかります。
配信中のメールの暗号化

図2 アジア地域における Gmail へ送信される10ドメインのメールの暗号化率

図2 アジア地域送信メールの暗号化率

では、上記以外はメールはどうなのでしょうか? 自分のメールが暗号化できているのか、どうやって調べればいいのでしょうか?

1. Gmail にメール送信する

Gmail のアドレスを持っているのであれば、調べたいメールアドレスから Gmail 宛てにメールを送信して、受信時に赤い南京錠が表示されないか調べることができます。とくに何もアイコンが表示されていないときは、「To 自分」の右にある下向き▼をクリックすると(図1参照)、メール情報の一覧が表示され、セキュリティの欄に、通常、グレーの南京錠と「標準的な暗号化（TLS）」が表示されます。

2. メールサーバセキュリティ診断を利用する

システム構築会社デージーネット社が無償で提供する、メールサーバセキュリティ診断 MSchecker を利用すると、短時間で詳しく診断してくれます。

MSchecker

メールを暗号化する方法

Google の調査によると、ocn や nifty の暗号化率はゼロなので、こうしたプロバイダーではメール暗号化するコースはないと考えられます。よって、プロバイダーのメールサービスを利用をやめるべきでしょう。

メールアドレスが独自ドメインの付いたものであれば、TLS/STARTTLS に対応しているホスティングサービス(レンタルサーバー)にドメインを移して、そこのメールサーバーにメールボックスを設定し、メールアドレスを移行するという方法があります（STARTTLS については後述）。こうすれば、メールアドレスを変更することなく、メールソフトの設定を変更するだけで、メールを暗号化することができます。
ただし、その場合、ホームページも移転する必要があります。

ホームページとしてレンタルサーバ―を使っているけれど、メールはプロバイダーのメールに独自ドメインをかぶせて使っているというケースがよく見受けられます。
そのような場合は、レンタルサーバーのメールサーバーの仕様をよく調べ、TLS1.0 以上に対応しているのであれば、今使っているメールアドレスのメールボックスをレンタルサーバー側に開設して、プロバイダーとのメール契約を廃止するという手があります。
この場合も、メールアドレスは変更する必要はありませんし、ほとんどコストがかかりません。

いずれの場合も、Gmail ではグレーの南京錠と「標準的な暗号化（TLS）」が表示されます。ただし、メールサーバーが STARTTLS には対応していない場合、MSchecker では、受信メールは暗号化されていないと判定されます。

STARTTLS（スタートティエルエス）とは暗号化する方式の一つです。通常、受信サーバーを TLS を設定する場合、暗号化されたメールを受け取るポートと暗号化されていないメールを受け取るポートを分けます。STARTTLS は、これらを分けずに一つのポートで受け取ります。

まとめ

メールを暗号化していないと、第三者にメールを窃取された場合、簡単に盗み見られてしまいます。もしメールの相手が機密情報を扱う場合、標的型攻撃メールに利用される危険があります。プロバイダーのメールサービスはやめ、暗号化に対応しているホスティングサービスにメールボックスを開設して、独自ドメインのメールを利用するとよいでしょう。