電子メールのセキュリティ問題 新しいようで古い技術

2018.01.28

電子メールは電話やFAX、郵便と共に使われ、現在ではビジネスにおいてなくてはならないものになっています。

しかし、最近のインターネット技術と比べると設計された時期が古く、セキュリティがあまり考慮されていません。実務上はセキュリティ上のデメリットを理解した上で、追加のセキュリティ技術や他のコミュニケーション手段と使い分ける必要があるのですが、実際にはセキュリティが意識されていない事が多いのが実情です。

ここではセキュリティ面でどのような問題があるのか解説していきます。

POP3は40年前から使われている規格

パソコンが新しい技術という感覚の方もいると思いますが、コンピュータが生まれてからかなりの年月が経っています。現在使われているコンピュータは、現役の方が生まれる前の1950年頃に作られました。

電子メールも1960年代から使われており、現在使われているPOP3やSMTPなどの通信規格は1980年代に作られたものです。規格の更新や派生版の開発はされているものの、40年も前の技術を使っている事になります。

当時はセキュリティが重視されていなかった

当時は一般向けのインターネットがなく、一部の企業や大学、研究機関がネットワークに接続しているだけでした。処理性能も低く、セキュリティ関連の処理をする余裕もなかったため、今の様にセキュリティは重視されていませんでした。

電子メールも例外ではなく、今では考えられないほど無防備な設計になっています。

通信内容が暗号化されていない

電子メールは次のような経路を通って送受信されますが、それぞれの通信は一切暗号化されていません。この間に悪意のある人間の侵入を許してしまうと、メールの内容を盗聴や改ざんされる可能性が出てきます。

電子メールの通信経路は暗号化されていない

ウェブページでは重要な情報が暗号化される

ウェブサイトで個人情報やクレジットカード情報など、流出して困る情報を扱う際にはHTTPSという暗号化通信を使います。これによって第三者による盗聴や改ざんを防ぎます。

Googleの検索ページもHTTPS化されており、暗号化されている様子は次のようにアドレスバーで確認できます。

通信内容の保護されるHTTPS通信

盗聴・改ざんの可能性

暗号化されていないと、メールの送信内容や受信内容を自由に書き換えたり盗聴したりする事ができてしまいます。

具体的には次の情報が盗聴される可能性があります。

  • 電子メールのユーザー名/パスワード
  • メールの内容(ヘッダー・本文・添付ファイル)

メールの内容どころか、ユーザー名とパスワードも盗み見ることができます。一度これらの情報を入手されてしまうと、次からは盗聴するまでもなく、正規の手順でメールの受信ができるようになってしまいます。また、同じパスワードを使っている他のサービスに侵入される可能性も出てきます。

POP3/SMTP over SSLでも一部しか保護されない

問題になるのは特殊なケースではない

簡単に盗聴・盗み見ができると言っても、無条件でそういった行為ができるわけではありません。メールの通信経路上に攻撃者が割り込む必要があります。

サーバーがクラッキングされた

サーバーが攻撃されて「○○のホームページが改ざんされた」とか「○○の顧客情報が流出した」というニュースは1度は聴いた事があると思います。

電子メールも同様で、サーバーに侵入されるとデータは覗き放題になります。機能を破壊され、サービスが止まる事は避けられませんが、暗号化されていれば内容を盗み見られる事態は避けられます。

しっかりとしたセキュリティ対策を行っている大手サービスであれば、サーバーに侵入された状態で長期間放置されるという状態はあり得ません。しかし、自社やシステム屋さんでサーバーを運用している場合には、侵入されている事に気づかず、長期間情報を垂れ流し続ける危険性もあります。

無料Wi-fiなど提供元の分からないネットワークに接続した

仕事で使っているスマホやパソコンを、お店などで提供されている無線LANに繋いでいませんか?暗号化されていない通信をそういったネットワークで利用する事は大変危険なのでやめましょう。

盗聴目的で「Softbank」や「FreeWifi」といった、それらしいネットワーク名で無線LANを作る人がいます。そこへ接続してしまうと、ID、パスワード、メールからウェブまで、暗号化されていない通信は覗き放題になってしまいます。これには特殊な道具は一切必要なく、ノートパソコンと無線LANアダプタ、無料のネットワーク監視ツールだけで実現できてしまいます。

外出先でインターネットに接続する必要がある場合は、Wi-fiスポットを使わず、携帯電話のテザリングやモバイルルーターを用意するようにしましょう。

送信元を簡単に詐称できる

攻撃者が取引先などの他人になりすましてメールを送ってくる可能性があります。

現在はまともなメールサービスであれば送信時に認証を行うので、正規の送信用サーバーを悪用される可能性は低くなっています。しかし、攻撃者は正規のサーバーを利用する必要は無く、攻撃者自身が送信用サーバーを用意すれば送信元アドレスを自由に設定できます。

サーバーを用意すれば送信者の偽装は簡単

増加する標的型攻撃メール

昔の攻撃手法は、スパムメールのように無差別にメールを送って、千分の一や一万分の一の確率で引っかかればいいというものが主流でした。そういったメールは日本語がおかしいものも多く、ある程度知識があれば簡単に見分けられるものでした。

しかし、最近は標的型攻撃メールというものが流行しています。盗聴や内部からの情報流出を利用して、本物とうり二つの詐欺メールを送ってきます。送信者は実際に取引で使われているメールアドレスで、本文の書き方の癖まで真似てきます。

はっきり言って、セキュリティ対策のなされていないメール単体で本物か判断するのは不可能です。

送信済みの情報をコントロールできない

メールの仕組み上、一度送ったメールを操作する事はできません。メールをいつ削除するかというのは、完全に受信者に委ねられています。

残しておいて欲しくない情報が残ってしまう

メールの大きなメリットに「記録が残る」という点があります。

しかし、メッセージや添付ファイルの保存期限が決められないため、受信者次第でメールが無期限に残ってしまう点は困りものです。金銭や受注に関するやりとりなど、個人のPC上には必要以上に長い間残しておきたくない情報も多いと思います。

不適切な情報の送信や宛先の間違いがあっても削除できない

メールだと別の顧客向けの情報を送ってしまったり、添付するファイルを間違えて内部資料を送ってしまったという事故がよくあります。電話であれば本題に入る前に間違いに気づけますが、メールではそうはいきません。

Gmailなど、一部のサービスでは数秒間だけ送信を取り消すボタンが表示されますが、これはメールを送信するタイミングを遅らせて、その間だけ取り消せるようにしているだけです。本当に送信されてしまったメールを削除する手段はありません。

これを防ぐために、1通目でパスワード付きのZIPでファイルを送り、2通目でZIPファイルのパスワードを送るという、効果があるのか疑問なルールを設定している企業もあります。

コメント

タイトルとURLをコピーしました