置き去りにされるメールセキュリティ(1)
筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。
特集
特集
盗聴、なりすまし、フィッシング、スパム、ウイルス、スパイウェア、架空請求にはじまり、誤配信による情報漏えいなどなど、様々な危険があるにもかかわらず、あまり改善されている気配がしないのである。
メールはWebと並んで最も利用が多く、また最も攻撃を受けやすいサービスである。しかし、WebのセキュリティがSSLやらアンチフィッシングやら、色々と進化しているのに比べて、驚くほど進化していない。いや、正確にいうと技術的には、すでに用意されているのに使われていないのである。
ここでちょっとメール関連のセキュリティについて、整理してみようと思う。
1.メールに関わるセキュリティ上のリスク
最初にメールに関わるセキュリティ上のリスクを整理してみよう。
1-1 悪意ある第三者からのリスク
・ウイルス、スパイウェア
メールと一緒にウイルスとか、スパイウェアがやってくることは多い。
・盗聴
いまだに知らない人もいるようだが、メールは簡単に盗聴できることが少なくない。内容だけでなく、パスワードもわかっちゃいます。
・なりすまし
メールの送信者を偽ることはえらく簡単である。
・フィッシング
フィッシング詐欺の誘導にメールを使うことは一般的な傾向である。
・スパム
ほんとに邪魔。どこで漏れたかわからないが、とにかくいらないメールがどんどんやってくる。しかも最近は、サブジェクトを工夫して、「あれ? これ知り合いかな?」と思わせるようなものまででてきている。ほんと、やめて欲しい。
1-2 ミスによるもの
主として、人為的なミスによって引き起こされるインシデント。
・宛先間違い
メールを送信する際に、宛先違いで送るべきでない相手に、送るべきでない情報を送ってしまう、という非常に基本的なミスはいまだになくならない。
・BCCによる大量配信ミス
メールマガジンやお知らせなど、大量の送信先をBCCに設定して送信するという無謀なことが行われていたりする。BCCにしたつもりが、実はCCで送信先アドレスが丸見えで送信されてしまうというインシデントも少なくなかった。さすがに最近は減ってきたような気がする。
※蛇足 あとから取り消せるメール
なお、大手プロバイダであるニフティは「消せるメール」というサービスを提供している。これは、相手がまだ読んでいなければ、送信済みのメールを取り消せるというものである。それだけ聞くと、どうやってそんなことを実現するんだろうと思うが、実際には、送信の際にメール本文は送らず、本文を置いてあるURLを送信するのだという。それなら、確かにURLにある本文を読まれる前に消すことは簡単だ。しかし、なんだか騙されたような気がする。
消せるメール
http://www.nifty.com/mail/webmail/disappear.htm
メールシステムを開発、販売しているHDE社も、後で取り消せるメールシステムを提供している。こちらは、自社内に導入するタイプのもので、あらかじめ設定したルールに基づき、メールの内容を評価した上で一定時間、送信を保留することで、送信後の取り消しを可能としている。
HDE Mail Cop
http://www.hde.co.jp/hmc/
1-2 いまだに知らない人がいる盗聴
いまだに盗聴については、知らない人がいるようなので、補足しておきたいと思う。
メールはネットを介して運ばれてくるのであるが、正確にいうとデータは受信者だけに届くわけではないとこがミソである。例えばオフィスのLANだと、そのLANに接続している全てのクライアントに同じデータが送られる。受け取ったクライアントは、自分宛のものかどうかを判別し、自分のものでない場合は、破棄する。
ということは、破棄しないで、そのまんま全部受け取ってしまえば、盗聴が可能になるわけである。もちろん、このようなことを防ぐ方法、機器もあるが、対策を講じていなければ盗聴は簡単である。
なお、この仕組みはメールに限らず、Webでもなんでも同じ仕掛けなので、Webとのやりとりも同じ方法で盗聴することが可能である。
ただし、ご存じのようにWebの場合は、大事な情報はSSLで暗号化してやりとりすることが基本であるという認識が広がっている。そのため、データを盗聴しても暗号化されているので、内容を復元できない。SSLを使っていないWebなら、見たページをすべて盗聴することができる。
原理は上記の通りであるが、さて、では、実際に盗聴をするもっとも簡単な方法は…
【執筆:Prisoner Langley】
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》