置き去りにされるメールセキュリティ(3) | ScanNetSecurity
2024.07.27(土)
コンテンツ
注目検索ワード
ホーム 特集 特集 記事

置き去りにされるメールセキュリティ(3)

 筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。

特集
 筆者はつねづね不思議に思っているのであるが、メールほどセキュリティがおろそかにされているものはない。

 盗聴、なりすまし、フィッシング、スパム、ウイルス、スパイウェア、架空請求にはじまり、誤配信による情報漏えいなどなど、様々な危険があるにもかかわらず、あまり改善されている気配がしないのである。

 メールはWebと並んで最も利用が多く、また最も攻撃を受けやすいサービスである。しかし、WebのセキュリティがSSLやらアンチフィッシングやら、色々と進化しているのに比べて、驚くほど進化していない。いや、正確にいうと技術的には、すでに用意されているのに使われていないのである。

 ここでちょっとメール関連のセキュリティについて、整理してみようと思う。

2-3 フィッシング対策

・webサイト側の対策

 フィッシング対策については、メールそのものがニセサイトからのものでないことを認証する方法や、Webにアクセスした際に偽装サイトでないかどうかをチェックする方法などが考えられている。

 Webが偽装サイトかどうかをチェックするには、PhishWall サーバ やnProtect Netizen などがある。これらは、あらかじめ利用者が専用のツールをインストールしておくと、Webにアクセスした際にそのサイトが偽装サイトかどうかを判別してくれるというものである。本稿はメールセキュリティについて扱っているので、これらのWebでの対策についてはこれ以上触れないこととしたい。

PhishWall サーバ
http://www.securebrain.co.jp/products/server.html

nProtect Netizen
http://nprotect.jp/netizen/index.html

クライアント側での対策ソフト
Internet SagiWall
http://www.securebrain.co.jp/products/sagiwall/index.html

・メールでできる対策

 メールでのフィッシング対策としては、フィッシング詐欺が出始めた頃にドメインキーズやセンダーアイディーなどが提案された。筆者の知る範囲では、残念ながら、これらは標準的な方法として認知されていないようである。

ドメインキーズとは
https://www.netsecurity.ne.jp/dictionary/domainkeys.html

センダーアイディーとは
https://www.netsecurity.ne.jp/dictionary/senderid.html

 フィッシング詐欺対策には、こうした新しい技術以外に、古典的かつ有効なものがある。それは電子署名である。メールに送信元の確認ができる電子署名をつけることによって、送信元を確認することができる。

S/MIMEとは
https://www.netsecurity.ne.jp/dictionary/smime.html

電子メールの暗号化と電子署名を行うには? ベリサイン
http://www.verisign.co.jp/basic/pki/smime/index.html

 電子署名で一般的なものは、S/MIMEである。メールソフトがS/MIMEに対応している必要があるが、主なメールソフトS/MIMEに対応済みである。筆者の知る範囲では、下記のようなメールソフトが対応している。すいません。メールソフトが偏ってますね。

・秀丸メール
http://hide.maruo.co.jp/software/tk.html
・Becky!
http://www.rimarts.co.jp/becky-j.htm
・Shuriken 2008
http://www.justsystems.com/jp/shuriken/
・Outlook Express
http://www.microsoft.com/japan/windows/ie/experiences/Videos/email.mspx

 ついでにいうと、S/MIMEは改ざんの防止にも役立つ。送られていたメールの送信元を確認でき、さらにその内容が改ざんされていないこともチェックできるというすぐれものなのである。

・必要かつ有効なはずなのに、なぜか、使われないS/MIME

 しかし、残念なことにS/MIMEは、あまり採用されていない。一般的なメールソフトが対応しているのだから、フィッシング詐欺のターゲットになりそうなサービスを行っている企業が、顧客に送るメールをS/MIMEで送ればいいだけの話なのであるが、なぜか、多くの企業はそうはしていない。

 また、多くのECサイトは注文情報の確認を利用者に送っており、その中には氏名、住所、さらにはクレジット番号まで書かれている場合もあるのだ。WebでSSLが必要というならば、同じくメールにもSSLあるいはS/MIMEが必要なはずである。

 しかし、実際には、メールのセキュリティついては、なぜか放置している。これは明かな怠慢ではないだろうか?

・昔に比べて導入が楽になったS/MIME対応

 確かに、以前は、S/MIMEの導入には、個々の担当者のPCに電子証明書をインストールするとか、いろいろ手間と時間とコストがかかった。しかし、現在は、比較的手軽にS/MIMEでのメール送信を実現できるソリューションが増えている。代表的なものは、メール配信システムとメールゲートウェイである。

 メール配信システムはメールマガジンやメールDMなどの大量のメールを送信する際に利用されるソリューションである。最近のメール配信システムには、送信の際にS/MIMEを利用できる機能をもつものが多い。フィッシングは、DMやメールマガジンを装っているものが多いので、DMやメールマガジンの配信の際にS/MIMを利用することは大変効果的だと思う。

 メール配信システムには、パッケージを購入して自社でシステムを運営するタイプのものとASPとして利用するタイプのものがある。ASPタイプのものの方がお手軽であるが、メールの量や頻度によっては、自社で運用した方が、コストや手間がかからないことも多い。

 メール配信ASPサービスでS/MIMEに対応しているものも増えている。こういうサービスを利用すれば、手軽にS/MIMEでのメール配信を行うことができる。

S/MIME対応に対応しているメール配信ASPサービス

アウトバーン
http://www.tricorn.net/smime/qa.phtml

エイケア
http://www.a-care.co.jp/prd/anti-phishing.html

スパイラル
http://www.smp.ne.jp/dictionary/word/smime.html

 メールゲートウェイは、メールの送受信時に、ゲートウェイを通す際に、自動的にS/MIME対応にする方法である。この方法の場合だと、不特定多数に対してのメール送信以外の個別のメールにも対応できる。

S/MIME対応のメールゲートウェイ

SPIS-BOX ケイティケイ株式会社
http://spis-box.net/

S/MIME Inspection Gateway 日立ソフトウェアエンジニアリング株式会社
http://hitachisoft.jp/news/news218.html

HDE Secure Mail 株式会社HDE
http://www.hde.co.jp/hsm/

BROADIAEA emailProtector 株式会社オレンジソフト
http://www.orangesoft.co.jp/modules/pukiwiki/?emailProtector

APMG デジタル・インフォメーション・テクノロジー株式会社
http://www.eb.ditgroup.jp/pki-solution/apmg/apmg.html

 余談であるが、SPIS-BOXというのは、以前はサン電子という会社が開発、販売していたものをケイティケイ社が買い取ったものである。

 サン電子は…

【執筆:Prisoner Langley】

【関連記事】
置き去りにされるメールセキュリティ(1)
https://www.netsecurity.ne.jp/3_12604.html
置き去りにされるメールセキュリティ(2)
https://www.netsecurity.ne.jp/3_12639.html
【関連リンク】
セキュリティコラムばかり書いているLANGLEYのブログ
http://netsecurity.blog77.fc2.com/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

特集

メールセキュリティ

特集 アクセスランキング

  1. 今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

    今日もどこかで情報漏えい 第26回「2024年6月の情報漏えい」ふたつの “完全には否定できない” 違いは どこを向いているか

  2. 能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

    能力のないサーバ管理者 サーバモンキーはネットセキュリティの危険因子

  3. アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

    アンチ・シリコンジャーナリズム それってデータの裏付けあるの? 前編「存在しない『炎上』の作り方」

  4. Scan社長インタビュー 第1回「NRIセキュア 柿木 彰 社長就任から200日間」前編

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×