学術系ホームページ&CD/DVD制作
050-6870-5000
メールを暗号化していますか
図1 暗号化されていないメールは警告が出る。
さらに Google は警告します。
赤い南京錠アイコンが付いた受信メールの中に特に機密性の高い情報がある場合、送信者に問題があることを知らせて、メール サービス プロバイダに問い合わせるように勧めてください。
メール暗号化のしくみ
メールの暗号化には、TLS と S/MIME の2段階があります。
TLS とは暗号化するプロトコルで、ホームページ (https) で使われる場合、SSL と呼ばれることが多く、メールサーバーに関しては、TLS と呼ばれています。じつは、SSL(Secure Sockets Layer) というのは古いバージョンの呼称で、現在のバージョンは TLS(Transport Layer Security) です。
受信サーバーと送信サーバーの双方が TLS 暗号化通信に対応している場合、そのメールは自動的に暗号化されて送信、そして受信されると、自動的に復号化されます。
S/MIME は、TLS 暗号化通信をさらに高度化したもので、送信先が公開キーを持っていないと、復号化できません。Gmail では、この S/MIME を採用しています。
しかし、一方が S/MIME や TLS を採用していても、相手方のメールサーバーが TLS に対応していなければ、メールを暗号化できず、平文のまま送受信することになります。
つまり、メールの場合、送受信する双方が暗号化していないと、暗号化通信できないのです。
暗号化されていないメールが危険な理由
メールが暗号化されていようがされていまいが、機密文書は圧縮してパスワードを掛けた添付ファイルにするから大丈夫、とタカをくくっていませんか?
機密文書でなくても、メール先が公官庁や金融機関など機密情報を扱う組織の人であれば、メールを盗み見るだけで、相手先のメールアドレスのみならず、あなたがその人とどのような関係で、日常的にどのようなやりとりしているか、分かってしまいます。
そうなれば、悪意を持つ第三者があなたになりすまし、ニセメールを発信して、ウイルス入りの添付ファイルを開かせたり、ニセサイトに誘導したりして、機密情報を扱う組織に攻撃を仕掛けることが可能になります。これが標的型攻撃メールです。
メールを暗号化しておかないと、あなたは標的型攻撃メールの片棒を担ぐことになりかねないのです。
なお、標的型メールで大きな被害を生じた事例を メールを暗号化していますか 2 で紹介しています。
メールサーバが TLS に対応しているか調べる方法
図はアジア地域で、Gmail へ送信することの多い上位10ドメインの暗号化率を示しています。ご覧のように、docomo、au、softbank など携帯キャリア各社は全滅。老舗プロバイダー ocn、nifty、また、無料メールとしてよく利用される yahoo メールも、全く暗号化されていないことがわかります。
配信中のメールの暗号化
図2 アジア地域 送信メールの暗号化率
では、上記以外はメールはどうなのでしょうか? 自分のメールが暗号化できているのか、どうやって調べればいいのでしょうか?
1. Gmail にメール送信する
Gmail のアドレスを持っているのであれば、調べたいメールアドレスから Gmail 宛てにメールを送信して、受信時に赤い南京錠が表示されないか調べることができます。とくに何もアイコンが表示されていないときは、「To 自分」の右にある下向き▼をクリックすると(図1参照)、メール情報の一覧が表示され、セキュリティの欄に、通常、グレーの南京錠と「標準的な暗号化(TLS)」が表示されます。
2. メールサーバセキュリティ診断を利用する
システム構築会社デージーネット社が無償で提供する、メールサーバセキュリティ診断 MSchecker を利用すると、短時間で詳しく診断してくれます。
メールを暗号化する方法
Google の調査によると、ocn や nifty の暗号化率はゼロなので、こうしたプロバイダーではメール暗号化するコースはないと考えられます。よって、プロバイダーのメールサービスを利用をやめるべきでしょう。
メールアドレスが独自ドメインの付いたものであれば、TLS/STARTTLS に対応しているホスティングサービス(レンタルサーバー)にドメインを移して、そこのメールサーバーにメールボックスを設定し、メールアドレスを移行するという方法があります(STARTTLS については後述)。こうすれば、メールアドレスを変更することなく、メールソフトの設定を変更するだけで、メールを暗号化することができます。
ただし、その場合、ホームページも移転する必要があります。
ホームページとしてレンタルサーバ―を使っているけれど、メールはプロバイダーのメールに独自ドメインをかぶせて使っているというケースがよく見受けられます。
そのような場合は、レンタルサーバーのメールサーバーの仕様をよく調べ、TLS1.0 以上に対応しているのであれば、今使っているメールアドレスのメールボックスをレンタルサーバー側に開設して、プロバイダーとのメール契約を廃止するという手があります。
この場合も、メールアドレスは変更する必要はありませんし、ほとんどコストがかかりません。
いずれの場合も、Gmail ではグレーの南京錠と「標準的な暗号化(TLS)」が表示されます。ただし、メールサーバーが STARTTLS には対応していない場合、MSchecker では、受信メールは暗号化されていないと判定されます。
STARTTLS(スタートティエルエス) とは暗号化する方式の一つです。通常、受信サーバーを TLS を設定する場合、暗号化されたメールを受け取るポートと暗号化されていないメールを受け取るポートを分けます。STARTTLS は、これらを分けずに一つのポートで受け取ります。
まとめ
メールを暗号化していないと、第三者にメールを窃取された場合、簡単に盗み見られてしまいます。もしメールの相手が機密情報を扱う場合、標的型攻撃メールに利用される危険があります。プロバイダーのメールサービスはやめ、暗号化に対応しているホスティングサービスにメールボックスを開設して、独自ドメインのメールを利用するとよいでしょう。