TwoFive メールセキュリティ Blog 第1回「メール、その混沌の起源」

元来メールは「研究機関やそれに類する組織に所属する人」だけで利用されていましたから、セキュリティはほとんど考慮されていませんでした。その証拠に、最初に SMTP を規定した RFC821 を「security」という文字で検索しても一つもヒットしません。

特集コラム

2021年11月30日（火） 08時20分

TwoFive Blog 第1回「メール、その混沌の起源」

　TwoFive Blog は、メールセキュリティを事業の柱とする株式会社TwoFive（トゥーファイブ）のエンジニアが交代で、メールのセキュリティ課題をテーマに解説する。第一回目の今回は、セキュリティ課題の解説の前に、簡単に電子メールの歴史を振り返る。

●ポケベルが鳴っていた時代

　突然ですが、皆様はポケベルをご存知でしょうか。携帯電話がない時代に、外出している相手を呼び出すための専用機器で、1994 年頃にカタカナや絵文字の表示に対応すると、コミュニケーションツールとして若い女性を中心に大ブームとなりました。

　当時は、ポケベルにメッセージを送るため公衆電話に長蛇の列ができるのが年末年始の風物詩となっていました。しかし、1996 年後半頃に携帯電話が登場すると急速に姿を消し、1998 年頃には街中で見かけることはほとんどなくなりました。このように上位互換の技術が出現し、役割を終えた旧技術が急速に衰退していくことはよくあることです。

　2010 年頃、「 5 年以内にメールはなくなる」、「メールの利用をやめましょう」といった声が多数ありました。2000 年代中頃から、Web 由来の技術が進歩し、SNS など双方向にコミュニケーションが取れる新サービスが社会に浸透してきたのもこの頃だったと記憶しています。

　現在、コミュニケーションツールとしてのメールの役割は縮小しました。LINE の国内ユーザーは既に 8,000 万人を越えるなど、プライベートではメール以外のコミュニケーションツールを使い、弊社でも、既に社内のコミュニケーションは slack に移行しています。しかし、社外とのコミュニケーションは未だにメールがメインです。また、クラウドサービスの利用開始時にメールで認証するといった、以前は少なかった使い方が増えており、結果として、メールの総数は減っていません。メールがなくなると言われた 2010 年頃から 10 年以上経ってもメールは姿を消すどころか総数も減っていないということは、まだ役割を終えておらず、その付き合いは続くと考えてよいと思います。

●世界最初の電子メール

　我々が使っている「@」を使った電子メールは、1971 年に送信されたと言われています。レイ・トムリンソン氏が ARPANET（Advanced Research Projects Agency NETwork：高等研究計画局ネットワーク）上で動作するプログラムを開発し、一対一ではなく、複数マシンに向けて送信したものです。

　アメリカは広大な国土を持つ国です。組織横断で研究をするにはその広さが問題となりました。その解決のため、アメリカ国防省の高等研究計画局が資金を提供し、ARPANET が開発されました。当時、パソコンはまだなく、研究者は所属している組織が所有している高価な大型コンピュータを共用で使用していました。また、大型コンピュータは常時稼働しているとは限らず、送信したメッセージがすぐに相手に着信しなくても良いとされました。

●世界最初のスパムメール

　世界で最初にスパムメールが送信されたのは、1978 年のことです。DEC 社が販売していたコンピュータの売り込みでした。以下のサイトに世界初のスパムメール全文と、受け取った人々の反応が掲載されています。

・Reaction to the DEC Spam of 1978
https://www.templetons.com/brad/spamreact.html

　この中に象徴的な記述があります。

We are all engaged in activities relating to, or in support of, official US Government business. ARPAnet mail therefore is more of an "interoffice memo" sort of thing than a trade journal, not intended for public distribution although not "top secret" either.
（私たちは皆、米国政府の公式事業に関連する、またはそれを支援する活動に従事しています。したがって、ARPAnetメールは、業界誌というよりも「オフィス間メモ」のようなものであり、「極秘」ではありませんが、一般に配布することを目的としたものではありません。）

●初期のメールの役割

　この記述から、当時の電子メールは、「研究機関やそれに類する組織に所属する人同士で業務上の情報共有を行うこと」に使われるものだったと想像できます。当時は一般には電話と郵便しかない時代でしたから、非常に画期的なツールだったようです。

●メール利用の拡大

　ARPANET での電子メールの利便性が一般に知られると、ARPANET に所属していない組織でメールを使うために代替ネットワークで使用する電子メールシステムがいくつか開発されました。種々の電子メールシステムの相互接続をするため、1982 年に SMTP（RFC821）、Internet Message Format（RFC 822）を IETF（インターネット技術特別調査委員会）が作成しました。

　相互接続する電子メールシステムは増加していきましたが、非常に高価だったようです。利用できるのは基本的に研究機関かそれに類する組織に限られており、メールの役割に変化はなかったと思われます。その後、コンピュータの進歩に伴い 1984 年にPOP（RFC918）、1988 年に IMAP2（RFC1064）など、利便性を向上する規格が登場しました。

● The internet 登場

　転機となったのは、1988 年にアメリカで商用サービスが開始した The internet の登場です。メールは The internet でも引き続き利用されました。The internet は IP という唯一の約束事を使って、複数のコンピュータネットワークを接続した誰でも参加可能な地球規模のネットワークです。コンピュータの価格が急激に低下したこともあり、急速に世界中に拡大し、身元のはっきりしない悪意のある組織や人でも参加できるようになりました。メールは The internet でも引き続き利用されましたが、利用者とネットワークの前提は大きく変化してしまったといえます。

●最後に：メールセキュリティ混沌の起源

　元来メールは「研究機関やそれに類する組織に所属する人」だけで利用されていましたから、セキュリティはほとんど考慮されていませんでした。その証拠に、最初に SMTP を規定した RFC821 を「security」という文字で検索しても一つもヒットしません。

　しかし、2001 年に改定された RFC2821 を「security」で検索すると 17 件、2008 年に改定された RFC5321 では 18 件がヒットします。このように、メールのセキュリティ課題のほとんどは The internet の登場という変化に由来しています。

　次回以降、メールのセキュリティ課題をテーマに、弊社エンジニアがいくつかの要素に分けてして解説いたします。引き続き、ご一読いただきますようお願いいたします。

著者プロフィール
　株式会社TwoFive 技術部シニアコンサルタント桐原健一（きりはらけんいち）。29 歳の時に一念発起して UNIX の世界へ。その後、メール配信事業者、メーカ系 ISP、メール ASP で長年インフラ及びシステムの構築・運用・サポートに従事。株式会社TwoFive 入社後は、主にプリセールス、コンサルティングを担当。プライベートでは FCバルセロナと横浜DeNAベイスターズをこよなく愛している。

株式会社TwoFive
　国内大手 ISP / ASP、携帯事業者、数百万～数千万ユーザー規模の大手企業のメッセージングシステムの構築・サポートに長年携わってきた日本最高水準のメールのスペシャリスト集団。メールシステムの構築、メールセキュリティ、スレットインテリジェンスを事業の柱とし、メールシステムに関するどんな課題にもきめ細かに対応し必ず顧客が求める結果を出す。

《株式会社TwoFive 桐原健一》