置き去りにされるメールセキュリティ(3)

　筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。

特集特集

2008年12月25日（木） 17時15分

　筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。

　盗聴、なりすまし、フィッシング、スパム、ウイルス、スパイウェア、架空請求にはじまり、誤配信による情報漏えいなどなど、様々な危険があるにもかかわらず、あまり改善されている気配がしないのである。

　メールはWebと並んで最も利用が多く、また最も攻撃を受けやすいサービスである。しかし、WebのセキュリティがSSLやらアンチフィッシングやら、色々と進化しているのに比べて、驚くほど進化していない。いや、正確にいうと技術的には、すでに用意されているのに使われていないのである。

　ここでちょっとメール関連のセキュリティについて、整理してみようと思う。

2-3 フィッシング対策

・webサイト側の対策

　フィッシング対策については、メールそのものがニセサイトからのものでないことを認証する方法や、Webにアクセスした際に偽装サイトでないかどうかをチェックする方法などが考えられている。

　Webが偽装サイトかどうかをチェックするには、PhishWall サーバやnProtect Netizen などがある。これらは、あらかじめ利用者が専用のツールをインストールしておくと、Webにアクセスした際にそのサイトが偽装サイトかどうかを判別してくれるというものである。本稿はメールセキュリティについて扱っているので、これらのWebでの対策についてはこれ以上触れないこととしたい。

PhishWall サーバ
http://www.securebrain.co.jp/products/server.html

nProtect Netizen
http://nprotect.jp/netizen/index.html

クライアント側での対策ソフト
Internet SagiWall
http://www.securebrain.co.jp/products/sagiwall/index.html

・メールでできる対策

　メールでのフィッシング対策としては、フィッシング詐欺が出始めた頃にドメインキーズやセンダーアイディーなどが提案された。筆者の知る範囲では、残念ながら、これらは標準的な方法として認知されていないようである。

ドメインキーズとは
https://www.netsecurity.ne.jp/dictionary/domainkeys.html

センダーアイディーとは
https://www.netsecurity.ne.jp/dictionary/senderid.html

　フィッシング詐欺対策には、こうした新しい技術以外に、古典的かつ有効なものがある。それは電子署名である。メールに送信元の確認ができる電子署名をつけることによって、送信元を確認することができる。

S/MIMEとは
https://www.netsecurity.ne.jp/dictionary/smime.html

電子メールの暗号化と電子署名を行うには？　ベリサイン
http://www.verisign.co.jp/basic/pki/smime/index.html

　電子署名で一般的なものは、S/MIMEである。メールソフトがS/MIMEに対応している必要があるが、主なメールソフトS/MIMEに対応済みである。筆者の知る範囲では、下記のようなメールソフトが対応している。すいません。メールソフトが偏ってますね。

・秀丸メール
http://hide.maruo.co.jp/software/tk.html
・Becky!
http://www.rimarts.co.jp/becky-j.htm
・Shuriken 2008
http://www.justsystems.com/jp/shuriken/
・Outlook Express
http://www.microsoft.com/japan/windows/ie/experiences/Videos/email.mspx

　ついでにいうと、S/MIMEは改ざんの防止にも役立つ。送られていたメールの送信元を確認でき、さらにその内容が改ざんされていないこともチェックできるというすぐれものなのである。

・必要かつ有効なはずなのに、なぜか、使われないS/MIME

　しかし、残念なことにS/MIMEは、あまり採用されていない。一般的なメールソフトが対応しているのだから、フィッシング詐欺のターゲットになりそうなサービスを行っている企業が、顧客に送るメールをS/MIMEで送ればいいだけの話なのであるが、なぜか、多くの企業はそうはしていない。

　また、多くのECサイトは注文情報の確認を利用者に送っており、その中には氏名、住所、さらにはクレジット番号まで書かれている場合もあるのだ。WebでSSLが必要というならば、同じくメールにもSSLあるいはS/MIMEが必要なはずである。

　しかし、実際には、メールのセキュリティついては、なぜか放置している。これは明かな怠慢ではないだろうか？

・昔に比べて導入が楽になったS/MIME対応

　確かに、以前は、S/MIMEの導入には、個々の担当者のPCに電子証明書をインストールするとか、いろいろ手間と時間とコストがかかった。しかし、現在は、比較的手軽にS/MIMEでのメール送信を実現できるソリューションが増えている。代表的なものは、メール配信システムとメールゲートウェイである。

　メール配信システムはメールマガジンやメールDMなどの大量のメールを送信する際に利用されるソリューションである。最近のメール配信システムには、送信の際にS/MIMEを利用できる機能をもつものが多い。フィッシングは、DMやメールマガジンを装っているものが多いので、DMやメールマガジンの配信の際にS/MIMを利用することは大変効果的だと思う。

　メール配信システムには、パッケージを購入して自社でシステムを運営するタイプのものとASPとして利用するタイプのものがある。ASPタイプのものの方がお手軽であるが、メールの量や頻度によっては、自社で運用した方が、コストや手間がかからないことも多い。

　メール配信ASPサービスでS/MIMEに対応しているものも増えている。こういうサービスを利用すれば、手軽にS/MIMEでのメール配信を行うことができる。

S/MIME対応に対応しているメール配信ASPサービス

アウトバーン
http://www.tricorn.net/smime/qa.phtml

エイケア
http://www.a-care.co.jp/prd/anti-phishing.html

スパイラル
http://www.smp.ne.jp/dictionary/word/smime.html

　メールゲートウェイは、メールの送受信時に、ゲートウェイを通す際に、自動的にS/MIME対応にする方法である。この方法の場合だと、不特定多数に対してのメール送信以外の個別のメールにも対応できる。

S/MIME対応のメールゲートウェイ

SPIS-BOX ケイティケイ株式会社
http://spis-box.net/

S/MIME Inspection Gateway 日立ソフトウェアエンジニアリング株式会社
http://hitachisoft.jp/news/news218.html

HDE Secure Mail 株式会社HDE
http://www.hde.co.jp/hsm/

BROADIAEA emailProtector 株式会社オレンジソフト
http://www.orangesoft.co.jp/modules/pukiwiki/?emailProtector

APMG デジタル・インフォメーション・テクノロジー株式会社
http://www.eb.ditgroup.jp/pki-solution/apmg/apmg.html

　余談であるが、SPIS-BOXというのは、以前はサン電子という会社が開発、販売していたものをケイティケイ社が買い取ったものである。

　サン電子は…

【執筆：Prisoner Langley】

【関連記事】
置き去りにされるメールセキュリティ(1)
https://www.netsecurity.ne.jp/3_12604.html
置き去りにされるメールセキュリティ(2)
https://www.netsecurity.ne.jp/3_12639.html
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》