メールのセキュリティを見直そう 大手ISPが盗聴可能な状態を放置(2)
【セキュリティより利益優先?】
特集
特集
●対策は明白なのに、誰もそれをいわない
実は有効な対策がいくつか用意されている。
pop over SSL、smtp over SSLあるいはS/MIMEと呼ばれるものがそうである。pop over SSL、smtp over SSLは読んで字のごとく、WEBでも利用しているSSLのメール版である。メールサーバとのやりとりを暗号化することによって、盗聴を予防することができる。ほとんどの主要なメールソフトは対応しているので利用しているメールソフトのヘルプで検索してみるとよい。
S/MIMEではメールそのものを暗号化する。pop over SSL、smtp over SSLは通信を暗号化するので、通信を行うサーバとメールソフトの両方が対応している必要がある。これに対してS/MIMEはメールそのものを暗号化するので、メールソフトが対応しているだけで大丈夫である。そのかわりに自分自身のデジタル証明書をもっている必要がある。デジタル証明書は自分で購入してインストールしないといけない。加えて送信者のデジタル証明書の確認もできるのでよりセキュアな利用ができるといえる。S/MIMEも実は主要なメールソフトはすでに対応済みである。
ただし、利用者が自分のデジタル証明書をもっていないといけないので、少々面倒かつコストがかかる。
S/MIME
http://www.secomtrust.net/secword/smime.html
この点、pop over SSL、smtp over SSLの方が手間もコストもほとんどかからないので楽である。現実的な盗聴対策としてはpop over SSL、smtp over SSLということになると思う。
では、なんでpop over SSL、smtp over SSLを使わないのであろう?
対策はすでにあって、ほとんどのメールソフトは対応しているなら、そっちを使えばいいはずである。しかし、現実は、使っていない人の方が圧倒的である。
理由は簡単。ISPなどメールサービスを提供している事業者が対応していないからである。
●大手ISPはセキュリティを標榜しながらも利用者に危険性を隠蔽
メールのセキュリティ分野でのISPの怠慢ぶりは驚くほどである。
大手のニフティ、so-netをはじめとして多くが未対応なのである。S/MIME=デジタル証明書の販売はしていたりするが、S/MIMEは実際の対策を利用者側にだけ押し付ける形になるので、ISPとして対策を講じているわけではない。そもそもISP自身が自分から利用者へのお知らせ、連絡にS/MIMEを使っていない時点で、セキュリティをまっとうに考えていないことは明白である。筆者はニフティのアカウントもso-netのアカウントももっているが、一度もS/MIMEで署名、暗号化したメールを受け取ったことはない。ひんぱんに来るのは、DMばかりである。
肝心のメールサーバが未対応なのでは利用者は使いたくても使えない。
さらにひどいのは、利用者が知らないことをよいことに「メールのセキュリティを強化しましょう」などといって、アンチウイルスやフィッシング対策サービスを有料で利用者に売りつけている点である。簡単に儲けられるサービスだけを前面に出して、それでセキュリティ対策は済むような顔をして売りつけるのは、いかがなものだろうか?
ちなみに大手ISPの中でもBIGLOBEは対応していた。
メール盗聴防止
http://email.biglobe.ne.jp/ssl/index.html
やっているところはやっているのである。しかも、アンチウイルスサービス申込者は無料で使える。
●レンタルサーバ事業者の対応は進んでいる
一方、レンタルサーバ事業者の対応は進んでいて、GMOグループなど多くの事業者が標準でpop over SSL、smtp over SSLをサポートしている。
よけいにニフティやso-netなどのISPの対応の遅れが気になる。
やっていないのは単なる怠慢か、利用者が気づいていないことにつけこんだコスト削減=確信犯としか思えない。
ネットワークに流す重要なデータを暗号化するのは、基本的な安全確保である。その基本を無視して利用者を危険な状態に置いたままというのは、ISPとしては少々まずいのではないだろうか?
【執筆:疋田文五郎】
セキュリティ関連の検証、取材などを行うフリーライター。
BUGTRAQやFull Disclosure などへの脆弱性報告なども行っている。
《ScanNetSecurity》