メールのセキュリティを見直そう 大手ISPが盗聴可能な状態を放置(1)
【実は簡単なメールの盗聴】
特集
特集
●メールは基本的に盗聴可能、ID、パスワードも盗み放題
知っている人は知っているが、知らない人は知らないのが、メールのセキュリティである(というか、なんでもそうであるが)。
デフォルトでメールソフトやメールサーバを使っているとID、パスワード、メール本文などすべて暗号化もなにもされない状態でネットワークを流れることになる。メールには当然個人情報や重要な取引情報などが含まれていることもある。それらも平気で暗号化なしの状態でネットワークを流れてゆくのである。
WEBの世界ではすでに個人情報や重要な情報をネットワークに流す際にはSSLで暗号化するのが当たり前になってきている。しかし、メールの世界ではいまだに無防備な状態で利用しているケースが多い。
「盗聴なんて簡単にはできないから大丈夫」という人がいるかも知れないが、それならWEBでSSLを使っていることと矛盾する。それならWEBでも暗号化しなくてもよいはずであろう。
それに、実は盗聴はきわめて簡単にできるのである。
●約1千円のツールで素人でも簡単に盗聴できる
国産のシェアウェアで「network sniffer VIGIL」という約1千円のソフトがある。これがあれば、誰でも手軽に盗聴を行うことが可能となる。
network sniffer VIGIL
http://homepage2.nifty.com/spw/software/vigil/
こういう感じで見えてしまう
http://homepage2.nifty.com/spw/software/vigil/img/pop3.gif
これ以外にも有名なものとしてメール盗聴に特化した「MailSpy」といったものもあった(現在は行方不明)。ちなみに同名のメールアドレス収集ソフトもあるが、全く別物。
特別講座<MailSpy編>
http://akademeia.info/main/lecture3/tokubetu_mailspy.htm
ちなみに「network sniffer VIGIL」は盗聴をするためというよりは、ネットワークを監視することが本来の目的である。悪用するためのツールではないので、誤解なきようお願いしたい。
●ECサイトなどの返信メールも盗聴可能
当たり前であるが、自分が送信するメールだけではなく、ECサイトなどから来るメールも盗聴可能な状態になっていることが多い。ほとんどのECサイトは注文を受けた段階で確認メールを送信してくるが、このメールの中身が盗聴できるわけである。住所や電話番号などの重要な個人情報が含まれているメールも珍しくない。
ECサイトもWEBでの注文の時にはSSLにしているくせに、メールにはなんの対策も施さないというのは、矛盾しているのではないだろうか?
これもひとえに、メールの危険性の認識が低いためである。おそらくECサイト運営者は、メールが盗聴されるなどということを考えもしないのであろう。運営者なんだから、それくらい知っておいて欲しいという気もするが…
【執筆:疋田文五郎】
セキュリティ関連の検証、取材などを行うフリーライター。
BUGTRAQやFull Disclosure などへの脆弱性報告なども行っている。
《ScanNetSecurity》