TwoFive メールセキュリティ Blog 第1回「メール、その混沌の起源」 | ScanNetSecurity
2023.12.08(金)
コンテンツ
注目検索ワード
ホーム 特集 コラム 記事

TwoFive メールセキュリティ Blog 第1回「メール、その混沌の起源」

元来メールは「研究機関やそれに類する組織に所属する人」だけで利用されていましたから、セキュリティはほとんど考慮されていませんでした。その証拠に、最初に SMTP を規定した RFC821 を「security」という文字で検索しても一つもヒットしません。

特集 コラム
 TwoFive Blog は、メールセキュリティを事業の柱とする株式会社TwoFive(トゥーファイブ)のエンジニアが交代で、メールのセキュリティ課題をテーマに解説する。第一回目の今回は、セキュリティ課題の解説の前に、簡単に電子メールの歴史を振り返る。


●ポケベルが鳴っていた時代

 突然ですが、皆様はポケベルをご存知でしょうか。携帯電話がない時代に、外出している相手を呼び出すための専用機器で、1994 年頃にカタカナや絵文字の表示に対応すると、コミュニケーションツールとして若い女性を中心に大ブームとなりました。

 当時は、ポケベルにメッセージを送るため公衆電話に長蛇の列ができるのが年末年始の風物詩となっていました。しかし、1996 年後半頃に携帯電話が登場すると急速に姿を消し、1998 年頃には街中で見かけることはほとんどなくなりました。このように上位互換の技術が出現し、役割を終えた旧技術が急速に衰退していくことはよくあることです。

 2010 年頃、「 5 年以内にメールはなくなる」、「メールの利用をやめましょう」といった声が多数ありました。2000 年代中頃から、Web 由来の技術が進歩し、SNS など双方向にコミュニケーションが取れる新サービスが社会に浸透してきたのもこの頃だったと記憶しています。

 現在、コミュニケーションツールとしてのメールの役割は縮小しました。LINE の国内ユーザーは既に 8,000 万人を越えるなど、プライベートではメール以外のコミュニケーションツールを使い、弊社でも、既に社内のコミュニケーションは slack に移行しています。しかし、社外とのコミュニケーションは未だにメールがメインです。また、クラウドサービスの利用開始時にメールで認証するといった、以前は少なかった使い方が増えており、結果として、メールの総数は減っていません。メールがなくなると言われた 2010 年頃から 10 年以上経ってもメールは姿を消すどころか総数も減っていないということは、まだ役割を終えておらず、その付き合いは続くと考えてよいと思います。

●世界最初の電子メール

 我々が使っている「@」を使った電子メールは、1971 年に送信されたと言われています。レイ・トムリンソン氏が ARPANET(Advanced Research Projects Agency NETwork:高等研究計画局ネットワーク)上で動作するプログラムを開発し、一対一ではなく、複数マシンに向けて送信したものです。

 アメリカは広大な国土を持つ国です。組織横断で研究をするにはその広さが問題となりました。その解決のため、アメリカ国防省の高等研究計画局が資金を提供し、ARPANET が開発されました。当時、パソコンはまだなく、研究者は所属している組織が所有している高価な大型コンピュータを共用で使用していました。また、大型コンピュータは常時稼働しているとは限らず、送信したメッセージがすぐに相手に着信しなくても良いとされました。

●世界最初のスパムメール

 世界で最初にスパムメールが送信されたのは、1978 年のことです。DEC 社が販売していたコンピュータの売り込みでした。以下のサイトに世界初のスパムメール全文と、受け取った人々の反応が掲載されています。

・Reaction to the DEC Spam of 1978
https://www.templetons.com/brad/spamreact.html

 この中に象徴的な記述があります。

We are all engaged in activities relating to, or in support of, official US Government business. ARPAnet mail therefore is more of an "interoffice memo" sort of thing than a trade journal, not intended for public distribution although not "top secret" either.
(私たちは皆、米国政府の公式事業に関連する、またはそれを支援する活動に従事しています。したがって、ARPAnetメールは、業界誌というよりも「オフィス間メモ」のようなものであり、「極秘」ではありませんが、一般に配布することを目的としたものではありません。)

●初期のメールの役割

 この記述から、当時の電子メールは、「研究機関やそれに類する組織に所属する人同士で業務上の情報共有を行うこと」に使われるものだったと想像できます。当時は一般には電話と郵便しかない時代でしたから、非常に画期的なツールだったようです。

●メール利用の拡大

 ARPANET での電子メールの利便性が一般に知られると、ARPANET に所属していない組織でメールを使うために代替ネットワークで使用する電子メールシステムがいくつか開発されました。種々の電子メールシステムの相互接続をするため、1982 年に SMTP(RFC821)、Internet Message Format(RFC 822)を IETF(インターネット技術特別調査委員会)が作成しました。

 相互接続する電子メールシステムは増加していきましたが、非常に高価だったようです。利用できるのは基本的に研究機関かそれに類する組織に限られており、メールの役割に変化はなかったと思われます。その後、コンピュータの進歩に伴い 1984 年にPOP(RFC918)、1988 年に IMAP2(RFC1064)など、利便性を向上する規格が登場しました。

● The internet 登場

 転機となったのは、1988 年にアメリカで商用サービスが開始した The internet の登場です。メールは The internet でも引き続き利用されました。The internet は IP という唯一の約束事を使って、複数のコンピュータネットワークを接続した誰でも参加可能な地球規模のネットワークです。コンピュータの価格が急激に低下したこともあり、急速に世界中に拡大し、身元のはっきりしない悪意のある組織や人でも参加できるようになりました。メールは The internet でも引き続き利用されましたが、利用者とネットワークの前提は大きく変化してしまったといえます。

●最後に:メールセキュリティ混沌の起源

 元来メールは「研究機関やそれに類する組織に所属する人」だけで利用されていましたから、セキュリティはほとんど考慮されていませんでした。その証拠に、最初に SMTP を規定した RFC821 を「security」という文字で検索しても一つもヒットしません。

 しかし、2001 年に改定された RFC2821 を「security」で検索すると 17 件、2008 年に改定された RFC5321 では 18 件がヒットします。このように、メールのセキュリティ課題のほとんどは The internet の登場という変化に由来しています。

 次回以降、メールのセキュリティ課題をテーマに、弊社エンジニアがいくつかの要素に分けてして解説いたします。引き続き、ご一読いただきますようお願いいたします。


著者プロフィール
 株式会社TwoFive 技術部 シニアコンサルタント 桐原 健一(きりはら けんいち)。29 歳の時に一念発起して UNIX の世界へ。その後、メール配信事業者、メーカ系 ISP、メール ASP で長年インフラ及びシステムの構築・運用・サポートに従事。株式会社TwoFive 入社後は、主にプリセールス、コンサルティングを担当。プライベートでは FCバルセロナと横浜DeNAベイスターズをこよなく愛している。

株式会社TwoFive
 国内大手 ISP / ASP、携帯事業者、数百万~数千万ユーザー規模の大手企業のメッセージングシステムの構築・サポートに長年携わってきた日本最高水準のメールのスペシャリスト集団。メールシステムの構築、メールセキュリティ、スレットインテリジェンスを事業の柱とし、メールシステムに関するどんな課題にもきめ細かに対応し必ず顧客が求める結果を出す。
《株式会社TwoFive 桐原 健一》

ソース・関連リンク

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

不審メール確認、年金積立金管理運用独立行政法人を装い給付金等 案内 画像

不審メール確認、年金積立金管理運用独立行政法人を装い給付金等 案内
オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度] 画像

オランダ半導体製造企業 侵害/doda 転職活動バレ/港湾運営会社 業務停止 ほか [Scan PREMIUM Monthly Executive Summary 2023年11月度]
「楽々Document Plus」にディレクトリトラバーサルの脆弱性 画像

「楽々Document Plus」にディレクトリトラバーサルの脆弱性
トレンドマイクロ、2023年サイバーセキュリティ動向ふりかえり 画像

トレンドマイクロ、2023年サイバーセキュリティ動向ふりかえり
Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性(Scan Tech Report) 画像

Ubuntu の OverlayFS においてセキュリティ機構の回避が可能となる権限昇格につながる脆弱性(Scan Tech Report)
Ruckus Access Point に XSS の脆弱性 画像

Ruckus Access Point に XSS の脆弱性

インシデント・事故 記事一覧へ

シグマの Instagram 公式アカウント乗っ取り被害 画像

シグマの Instagram 公式アカウント乗っ取り被害
京都教育大学附属桃山中学校の公用パソコン、サポート詐欺の被害に 画像

京都教育大学附属桃山中学校の公用パソコン、サポート詐欺の被害に
ファイルサーバに脅迫文、大西グループに不正アクセス 画像

ファイルサーバに脅迫文、大西グループに不正アクセス
ECC学習支援システムへの不正アクセス、名古屋芸術大学の在籍学生586人の個人情報漏えいの可能性 画像

ECC学習支援システムへの不正アクセス、名古屋芸術大学の在籍学生586人の個人情報漏えいの可能性
積水ハウスのシステム開発用クラウドサーバから顧客情報漏えい、委託先のBIPROGYのセキュリティ設定不備 画像

積水ハウスのシステム開発用クラウドサーバから顧客情報漏えい、委託先のBIPROGYのセキュリティ設定不備
マツダへの不正アクセス、再発防止策は ASM 導入や多要素認証の実装加速 画像

マツダへの不正アクセス、再発防止策は ASM 導入や多要素認証の実装加速

調査・レポート・白書・ガイドライン 記事一覧へ

ほんとにクラッカーに負けない?「OSS の六つの神話」を検証 画像

ほんとにクラッカーに負けない?「OSS の六つの神話」を検証
不正注文被害のEC事業者は34.4%、年間被害金額は25~50万円が最多 画像

不正注文被害のEC事業者は34.4%、年間被害金額は25~50万円が最多
ボットが一般家庭の IP アドレス使用し防御回避、ユーザーは「CAPTCHA地獄」に 画像

ボットが一般家庭の IP アドレス使用し防御回避、ユーザーは「CAPTCHA地獄」に
代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析 画像

代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析
EPSS と CVSS を組み合わせた脆弱性ハンドリングを検証 画像

EPSS と CVSS を組み合わせた脆弱性ハンドリングを検証
ソースコード診断における ChatGPT の 3 つの長所 ~ MBSD 寺田氏検証 画像

ソースコード診断における ChatGPT の 3 つの長所 ~ MBSD 寺田氏検証

研修・セミナー・カンファレンス 記事一覧へ

AeyeScanによるテスト環境の診断方法 ~ エーアイセキュリティラボ 執行役員 関根氏解説 画像

AeyeScanによるテスト環境の診断方法 ~ エーアイセキュリティラボ 執行役員 関根氏解説
GMOイエラエ、「外部 IT 資産可視化」「継続的脆弱性対策」への ASM 活用セミナー 12/11 開催 画像

GMOイエラエ、「外部 IT 資産可視化」「継続的脆弱性対策」への ASM 活用セミナー 12/11 開催
GMOイエラエ社長 牧田誠 講演「エンジニアの楽園のつくりかた」~ 12 / 5, 6「GMO Developers Day 2023」オンライン開催 画像

GMOイエラエ社長 牧田誠 講演「エンジニアの楽園のつくりかた」~ 12 / 5, 6「GMO Developers Day 2023」オンライン開催
受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか 画像

受け身ではなく先回り:CISO はサイバー脅威インテリジェンスをどう読むべきか
「サイボウズ バグハンター合宿 2023」脆弱性 36 件認定 画像

「サイボウズ バグハンター合宿 2023」脆弱性 36 件認定
サイバー脅威インテリジェンスの未来 5つの傾向 画像

サイバー脅威インテリジェンスの未来 5つの傾向

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」アップデート、スキャンルールおよび脆弱性説明のカスタム機能を追加 画像

脆弱性診断自動化ツール「AeyeScan」アップデート、スキャンルールおよび脆弱性説明のカスタム機能を追加
社会や環境に配慮した公益性の高い企業としてクラフを「B Corporation」に認証、国内セキュリティ企業初 画像

社会や環境に配慮した公益性の高い企業としてクラフを「B Corporation」に認証、国内セキュリティ企業初
宮崎県のサイバーセキュリティベンチャー企業が国際企業認証 B Corp 認定を受けるまで ~ 株式会社クラフ エバンジェリスト村上瑛美インタビュー 画像

宮崎県のサイバーセキュリティベンチャー企業が国際企業認証 B Corp 認定を受けるまで ~ 株式会社クラフ エバンジェリスト村上瑛美インタビュー
不正アクセス禁止法に基づくアクセス制御技術の募集を開始 画像

不正アクセス禁止法に基づくアクセス制御技術の募集を開始
心の中で思い描いたイメージの脳信号からの復元に成功 画像

心の中で思い描いたイメージの脳信号からの復元に成功
「脆弱性のない製品を」NECプラットフォームズ、製品セキュリティポリシー策定 画像

「脆弱性のない製品を」NECプラットフォームズ、製品セキュリティポリシー策定

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です) 画像

創刊25周年記念キャンペーンのノベルティが届きました!(25周年記念キャンペーンは本日終了です)
人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典] 画像

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]
Scan PREMIUM 創刊25周年記念キャンペーン実施中 画像

Scan PREMIUM 創刊25周年記念キャンペーン実施中
ScanNetSecurity 創刊25周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊25周年御礼の辞(上野宣)
小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄 画像

小説内に登場するバーで直筆サインをいただきました ~ 創刊24周年キャンペーン 11/30 迄
「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ 画像

「果たされた約束」アフタヌーンティー開催レポート ~ 創刊24周年キャンペーン実施のおしらせ
Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×