筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。 盗聴、なりすまし、フィッシング、スパム、ウイルス、スパイウェア、架空請求にはじまり、誤配信による情報漏えいなどなど、様々な危険があるにもかかわらず、あまり改善されている気配がしないのである。 メールはWebと並んで最も利用が多く、また最も攻撃を受けやすいサービスである。しかし、WebのセキュリティがSSLやらアンチフィッシングやら、色々と進化しているのに比べて、驚くほど進化していない。いや、正確にいうと技術的には、すでに用意されているのに使われていないのである。 ここでちょっとメール関連のセキュリティについて、整理してみようと思う。2.メール利用のリスクへは、様々な対策が用意されている 前回挙げたリスクに対応して、様々な手段が用意されている。まずは、それぞれのリスクへの対策を挙げてみよう。2-1 ウイルス、スパイウェア対策 いうまでもなくアンチウイルスソフトなどがこの対策になる。メールを送受信するクライアントにアンチウイルスソフトを導入する方法もあれば、メールサーバやゲートウェイでチェックするなど様々な方法がある。 ウイルス、スパイウェアについては、多くの人が既になんらかの対策ソフトを導入していると思う。特にこの記事を読んでいる人はそうだろう。2-2 盗聴 盗聴に対して有効な方法はいくつか用意されているが、送受信するデータを暗号化するのが効果的と考えられている。ここでは、主に受信を中心に見てみたい。 受信に関して代表的な対策は、いくつかある。ひとつは、APOPと呼ばれるもの。これはメール受信の際に、アカウントとパスワードなどを暗号化する仕組みである。というか、読者の方の中には「メールって、アカウントもパスワードも暗号化されていないの?」と驚く人もいるかも知れない。そうなのである。本文は暗号化されない。APOPは、様々なプロバイダで採用されていて普及している。主要なメーラーも対応している。 もうひとつは、POP over SSL (POP3Sと記載されることもある)である。これは、Webではよく知られているSSLをメールの受信にも用いることで、アカウント、パスワードそしてメール本文の盗聴を防ぐことができる。 SSLにはちょっと問題がある。大手プロバイダが未対応あるいは有料オプションになっているのである。WebでSSLを採用していながら、メールでSSLを採用しないというのは、明かな怠慢だと筆者は思うのであるが、利用者からのクレームや要望があまり来ないのをいいことに見て見ぬふりをしているようである。この点については、ちょっと別項で取り上げたいと思う。 他に、S/MIMEで暗号化する対策もある… 【執筆:Prisoner Langley】【関連記事】置き去りにされるメールセキュリティ(1) https://www.netsecurity.ne.jp/3_12604.html 【関連リンク】セキュリティコラムばかり書いているLANGLEYのブログ http://netsecurity.blog77.fc2.com/ ── ※ この記事は Scan購読会員向け記事をダイジェスト掲載しました 購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
