置き去りにされるメールセキュリティ(3) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.24(木)

置き去りにされるメールセキュリティ(3)

特集 特集

 筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。

 盗聴、なりすまし、フィッシング、スパム、ウイルス、スパイウェア、架空請求にはじまり、誤配信による情報漏えいなどなど、様々な危険があるにもかかわらず、あまり改善されている気配がしないのである。

 メールはWebと並んで最も利用が多く、また最も攻撃を受けやすいサービスである。しかし、WebのセキュリティがSSLやらアンチフィッシングやら、色々と進化しているのに比べて、驚くほど進化していない。いや、正確にいうと技術的には、すでに用意されているのに使われていないのである。

 ここでちょっとメール関連のセキュリティについて、整理してみようと思う。

2-3 フィッシング対策

・webサイト側の対策

 フィッシング対策については、メールそのものがニセサイトからのものでないことを認証する方法や、Webにアクセスした際に偽装サイトでないかどうかをチェックする方法などが考えられている。

 Webが偽装サイトかどうかをチェックするには、PhishWall サーバ やnProtect Netizen などがある。これらは、あらかじめ利用者が専用のツールをインストールしておくと、Webにアクセスした際にそのサイトが偽装サイトかどうかを判別してくれるというものである。本稿はメールセキュリティについて扱っているので、これらのWebでの対策についてはこれ以上触れないこととしたい。

PhishWall サーバ
http://www.securebrain.co.jp/products/server.html

nProtect Netizen
http://nprotect.jp/netizen/index.html

クライアント側での対策ソフト
Internet SagiWall
http://www.securebrain.co.jp/products/sagiwall/index.html

・メールでできる対策

 メールでのフィッシング対策としては、フィッシング詐欺が出始めた頃にドメインキーズやセンダーアイディーなどが提案された。筆者の知る範囲では、残念ながら、これらは標準的な方法として認知されていないようである。

ドメインキーズとは
https://www.netsecurity.ne.jp/dictionary/domainkeys.html

センダーアイディーとは
https://www.netsecurity.ne.jp/dictionary/senderid.html

 フィッシング詐欺対策には、こうした新しい技術以外に、古典的かつ有効なものがある。それは電子署名である。メールに送信元の確認ができる電子署名をつけることによって、送信元を確認することができる。

S/MIMEとは
https://www.netsecurity.ne.jp/dictionary/smime.html

電子メールの暗号化と電子署名を行うには? ベリサイン
http://www.verisign.co.jp/basic/pki/smime/index.html

 電子署名で一般的なものは、S/MIMEである。メールソフトがS/MIMEに対応している必要があるが、主なメールソフトS/MIMEに対応済みである。筆者の知る範囲では、下記のようなメールソフトが対応している。すいません。メールソフトが偏ってますね。

・秀丸メール
http://hide.maruo.co.jp/software/tk.html
・Becky!
http://www.rimarts.co.jp/becky-j.htm
・Shuriken 2008
http://www.justsystems.com/jp/shuriken/
・Outlook Express
http://www.microsoft.com/japan/windows/ie/experiences/Videos/email.mspx

 ついでにいうと、S/MIMEは改ざんの防止にも役立つ。送られていたメールの送信元を確認でき、さらにその内容が改ざんされていないこともチェックできるというすぐれものなのである。

・必要かつ有効なはずなのに、なぜか、使われないS/MIME

 しかし、残念なことにS/MIMEは、あまり採用されていない。一般的なメールソフトが対応しているのだから、フィッシング詐欺のターゲットになりそうなサービスを行っている企業が、顧客に送るメールをS/MIMEで送ればいいだけの話なのであるが、なぜか、多くの企業はそうはしていない。

 また、多くのECサイトは注文情報の確認を利用者に送っており、その中には氏名、住所、さらにはクレジット番号まで書かれている場合もあるのだ。WebでSSLが必要というならば、同じくメールにもSSLあるいはS/MIMEが必要なはずである。

 しかし、実際には、メールのセキュリティついては、なぜか放置している。これは明かな怠慢ではないだろうか?

・昔に比べて導入が楽になったS/MIME対応

 確かに、以前は、S/MIMEの導入には、個々の担当者のPCに電子証明書をインストールするとか、いろいろ手間と時間とコストがかかった。しかし、現在は、比較的手軽にS/MIMEでのメール送信を実現できるソリューションが増えている。代表的なものは、メール配信システムとメールゲートウェイである。

 メール配信システムはメールマガジンやメールDMなどの大量のメールを送信する際に利用されるソリューションである。最近のメール配信システムには、送信の際にS/MIMEを利用できる機能をもつものが多い。フィッシングは、DMやメールマガジンを装っているものが多いので、DMやメールマガジンの配信の際にS/MIMを利用することは大変効果的だと思う。

 メール配信システムには、パッケージを購入して自社でシステムを運営するタイプのものとASPとして利用するタイプのものがある。ASPタイプのものの方がお手軽であるが、メールの量や頻度によっては、自社で運用した方が、コストや手間がかからないことも多い。

 メール配信ASPサービスでS/MIMEに対応しているものも増えている。こういうサービスを利用すれば、手軽にS/MIMEでのメール配信を行うことができる。

S/MIME対応に対応しているメール配信ASPサービス

アウトバーン
http://www.tricorn.net/smime/qa.phtml

エイケア
http://www.a-care.co.jp/prd/anti-phishing.html

スパイラル
http://www.smp.ne.jp/dictionary/word/smime.html

 メールゲートウェイは、メールの送受信時に、ゲートウェイを通す際に、自動的にS/MIME対応にする方法である。この方法の場合だと、不特定多数に対してのメール送信以外の個別のメールにも対応できる。

S/MIME対応のメールゲートウェイ

SPIS-BOX ケイティケイ株式会社
http://spis-box.net/

S/MIME Inspection Gateway 日立ソフトウェアエンジニアリング株式会社
http://hitachisoft.jp/news/news218.html

HDE Secure Mail 株式会社HDE
http://www.hde.co.jp/hsm/

BROADIAEA emailProtector 株式会社オレンジソフト
http://www.orangesoft.co.jp/modules/pukiwiki/?emailProtector

APMG デジタル・インフォメーション・テクノロジー株式会社
http://www.eb.ditgroup.jp/pki-solution/apmg/apmg.html

 余談であるが、SPIS-BOXというのは、以前はサン電子という会社が開発、販売していたものをケイティケイ社が買い取ったものである。

 サン電子は…

【執筆:Prisoner Langley】

【関連記事】
置き去りにされるメールセキュリティ(1)
https://www.netsecurity.ne.jp/3_12604.html
置き去りにされるメールセキュリティ(2)
https://www.netsecurity.ne.jp/3_12639.html
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

    [セキュリティ ホットトピック] 起動領域を破壊し PC を完全にロックするランサムウェア「Petya亜種」

  2. [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

    [セキュリティホットトピック] サイバー攻撃に対して備えるべき機能・組織・文書など、総務省が「防御モデル」として策定

  3. ISMS認証とは何か■第1回■

    ISMS認証とは何か■第1回■

  4. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

  5. ここが変だよ日本のセキュリティ 第29回「大事な人。忘れちゃダメな人。忘れたくなかった人。誰、誰……君の名前は……セキュリティ人材!」

  6. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  7. スマホが標的のフィッシング詐欺「スミッシング」とは、現状と対策(アンラボ)

  8. Man in the Browser と Man in the Middle 攻撃(CA Security Reminder)

  9. シンクライアントを本当にわかっていますか 〜意外に知られていないシンクライアントの真価

  10. 工藤伸治のセキュリティ事件簿シーズン6 誤算 第4回「不在証明」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×