置き去りにされるメールセキュリティ(1) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.20(日)

置き去りにされるメールセキュリティ(1)

特集 特集

 筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。

 盗聴、なりすまし、フィッシング、スパム、ウイルス、スパイウェア、架空請求にはじまり、誤配信による情報漏えいなどなど、様々な危険があるにもかかわらず、あまり改善されている気配がしないのである。

 メールはWebと並んで最も利用が多く、また最も攻撃を受けやすいサービスである。しかし、WebのセキュリティがSSLやらアンチフィッシングやら、色々と進化しているのに比べて、驚くほど進化していない。いや、正確にいうと技術的には、すでに用意されているのに使われていないのである。

 ここでちょっとメール関連のセキュリティについて、整理してみようと思う。

1.メールに関わるセキュリティ上のリスク

 最初にメールに関わるセキュリティ上のリスクを整理してみよう。

1-1 悪意ある第三者からのリスク

 ・ウイルス、スパイウェア
 メールと一緒にウイルスとか、スパイウェアがやってくることは多い。

 ・盗聴
 いまだに知らない人もいるようだが、メールは簡単に盗聴できることが少なくない。内容だけでなく、パスワードもわかっちゃいます。

 ・なりすまし
 メールの送信者を偽ることはえらく簡単である。

 ・フィッシング
 フィッシング詐欺の誘導にメールを使うことは一般的な傾向である。

 ・スパム
 ほんとに邪魔。どこで漏れたかわからないが、とにかくいらないメールがどんどんやってくる。しかも最近は、サブジェクトを工夫して、「あれ? これ知り合いかな?」と思わせるようなものまででてきている。ほんと、やめて欲しい。

1-2 ミスによるもの

 主として、人為的なミスによって引き起こされるインシデント。

 ・宛先間違い
 メールを送信する際に、宛先違いで送るべきでない相手に、送るべきでない情報を送ってしまう、という非常に基本的なミスはいまだになくならない。

 ・BCCによる大量配信ミス
 メールマガジンやお知らせなど、大量の送信先をBCCに設定して送信するという無謀なことが行われていたりする。BCCにしたつもりが、実はCCで送信先アドレスが丸見えで送信されてしまうというインシデントも少なくなかった。さすがに最近は減ってきたような気がする。

※蛇足 あとから取り消せるメール
 なお、大手プロバイダであるニフティは「消せるメール」というサービスを提供している。これは、相手がまだ読んでいなければ、送信済みのメールを取り消せるというものである。それだけ聞くと、どうやってそんなことを実現するんだろうと思うが、実際には、送信の際にメール本文は送らず、本文を置いてあるURLを送信するのだという。それなら、確かにURLにある本文を読まれる前に消すことは簡単だ。しかし、なんだか騙されたような気がする。

消せるメール
http://www.nifty.com/mail/webmail/disappear.htm

 メールシステムを開発、販売しているHDE社も、後で取り消せるメールシステムを提供している。こちらは、自社内に導入するタイプのもので、あらかじめ設定したルールに基づき、メールの内容を評価した上で一定時間、送信を保留することで、送信後の取り消しを可能としている。

HDE Mail Cop
http://www.hde.co.jp/hmc/

1-2 いまだに知らない人がいる盗聴

 いまだに盗聴については、知らない人がいるようなので、補足しておきたいと思う。

 メールはネットを介して運ばれてくるのであるが、正確にいうとデータは受信者だけに届くわけではないとこがミソである。例えばオフィスのLANだと、そのLANに接続している全てのクライアントに同じデータが送られる。受け取ったクライアントは、自分宛のものかどうかを判別し、自分のものでない場合は、破棄する。

 ということは、破棄しないで、そのまんま全部受け取ってしまえば、盗聴が可能になるわけである。もちろん、このようなことを防ぐ方法、機器もあるが、対策を講じていなければ盗聴は簡単である。

 なお、この仕組みはメールに限らず、Webでもなんでも同じ仕掛けなので、Webとのやりとりも同じ方法で盗聴することが可能である。

 ただし、ご存じのようにWebの場合は、大事な情報はSSLで暗号化してやりとりすることが基本であるという認識が広がっている。そのため、データを盗聴しても暗号化されているので、内容を復元できない。SSLを使っていないWebなら、見たページをすべて盗聴することができる。

 原理は上記の通りであるが、さて、では、実際に盗聴をするもっとも簡単な方法は…

【執筆:Prisoner Langley】


【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  5. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Heart of Darknet - インターネット闇の奥 第1回「プロローグ」

  9. [数字でわかるサイバーセキュリティ] 低年齢層のネット利用 8 割超え、サイバー犯罪カジュアル化も

  10. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×