電子メールの基礎

 誰もが日々何気なく使っている電子メール。実はこの電子メールには様々な危険があります。今回はその危険について詳しく書いていきます。

■電子メールのリスク

第三者の存在によって発生する電子メールの危険性には以下の3つがあります。
 ●盗聴
 

 ●なりすまし
 

 ●改ざん
 

  なりすましを利用したフィッシング詐欺ウィルス感染。不特定多数に電子メールを送りつけるスパムメール等があり、電子メールの利用には注意が必要です。なりすましメールなどは皆さんも見たことあるのではないでしょうか?
 今回はこの中でも「盗聴」についてピックアップして説明していきます。

 
 

■電子メールの仕組み

 なぜ上記のようなリスクにさらされる原因はなんでしょうか。それは、電子メールは基本的に平文で送られてしまうからです。そのため、現在では暗号化という仕組みが出てきています。暗号化の仕組みは、後で説明します。

 今回はメールの仕組みについて詳しく説明します。またどの箇所でセキュリティの問題があるか見てみましょう。
 電子メールで一般的な送受信にはSMTPPOPというものが使われます。

 SMTPとは、電子メールを送信するために使用するプロトコルです。メールソフトから、メールサーバへ電子メールを送信する際にこのSMTPを使用します。
 POPとは、電子メールを受信するために使用するプロトコルです。メーラでメールサーバから電子メールを受信する際にPOPを使用します。現在はPOPのバージョンが3なのでPOPと言えばPOP3を指します。

メールの全体の流れは以下のとおりです。

1. 送信者のパソコンから、メーラーがメールサーバにSMTPでメールを送信
2. メールサーバはSMTPでメールを送信。インターネット上のメールサーバを経由し、受信者のメールサーバに保存
3. 受信者が自宅パソコンのメーラを立ち上げ、受信者のメールサーバにPOPもしくはIMAPで接続しメールを受信



■対策

 ここでは上記に説明した電子メールの仕組みのどこでリスクが発生するか見てみましょう。 また、その対策例も紹介します。
参照https://www.jp.websecurity.symantec.com/welcome/pdf/wp_mailsecurity.pdf

リスク対策例対策箇所
メール誤送信即時送信せず、送信前に宛先確認
BCCの活用
誤送信防止ソフト
@
送信メールの盗聴SMTP over SSL
S/MIME
PGP
添付ファイル暗号化、パスワード付圧縮
@/A
ウィルス入りメール送信送信ウィルスチェックA
私用メール、機密情報メールの送信メールフィルタリング
メール監査
A
メール不正リレーSMTPリレー禁止設定
SMTP Auth
POP before SMTP
OP258(サブミッションポート587の利用)
A
内部統制対応メールアーカイブ
メール監査、検索機能
A
SPAMメールや迷惑メールの受信不審なメールは開かない
メーラーの迷惑メール設定(セーフ設定)
SPAMフィルタリング
送信ドメイン認証
B
ウィルス入りメール受信受信ウィルスチェック
怪しい添付ファイルは開かない
メーラーのプレビュー機能をOFF、HTMLメールを極力受信しない
B
受信メールの盗聴POP over SSL
ウェブメール(SSL)での受信
POPパスワード暗号化、パスワードポリシー強化
POPアクセス時にクライアント証明書を活用
B
フィッシングメール不審なメールは開かない、不審なリンクはクリックしない
署名付メールで送信者を確認
B
標的型攻撃(スピア型メール)不審なメールは開かない
怪しい添付ファイルは開かない
署名付メールで送信者を確認
B

 このように、状況によっては対策箇所が違います。
 ここで上記にでてくるSSLについて説明します。一般的にメールの送受信にはSMTPとPOPが使われることは上記の「電子メールの仕組み」でも説明しました。このSMTP/POPの通信は、通常の設定では、暗号化されず、平文でやり取りされます。ここに問題の原因があり、メールの盗聴など第3者が関係するメールの危険性が発生します。

 メールや添付ファイルを暗号化したとしても、メールサーバに接続するためのIDやパスワード自体が暗号化されずにやり取りされるので、たとえ社内などの閉じられた環境でのメールのやり取りであったとしても、クライアントPCとスイッチなどの間にパケットキャプチャを挟みこめば、盗聴可能です。 
 また、過去に多く利用されていたPOP上でID、パスワードを暗号化する方法としてAPOPというものがありますが、すでに脆弱性が発見されており、POP over SSLの利用が推奨されています。

 さて、この問題を解決するために、メールサーバへのSSLサーバ証明書導入による暗号化というものをご紹介します。

 

 

  メールサーバにSSLサーバ証明書を導入し、通信を暗号化することができます。メーラーとメールサーバ間をSSLで暗号化します。電子メールの受信時にメーラーとメールサーバ間の通信にSSLを使って暗号化する機能のことを「POP over SSL」といい、電子メールの送信時にメーラーとメールサーバ間の通信にSSLを使って暗号化する機能のことを「SMTP over SSL」といいます。

【SSLについて】
 ここでSSLについて簡単に説明しますSSLとはウェブサーバとクライアント間でセキュアな通信を行うためのプロトコルです。SSLの特徴は、サーバに身元を証明する電子的な証明書を発行し、SSL通信を開始するときにクライアントにこれを確認されることによって正しいサーバと通信を行うことを明示的に示し、その後の通信を暗号化することによってデータの盗聴や漏えいを防げます。
 

 
 

■まとめ

 今回のまとめを順にもう一度おさらいします。
電子メールの第3者の関連するリスクは、盗聴、改ざん、なりすましが多く挙げられます。
 電子メールには一般的にSMTP、POPというものが使われ、基本的に平文で送られてしまいます。
 これを解決するために「SMTP over SSL」「POP over SSL」というものがあります。メーラーとメールサーバ間を暗号化することによって盗聴、漏えいを防ぐことができます。

 今回は、SSLの暗号化について詳しく説明していきました。SSLを用いたメールの暗号化を行うことができれば、盗聴や漏えいを防ぐことが可能です。また、今回はSSLの暗号化の対策しか紹介していませんが、実際に起こりうるリスクに見合った対処法を行いましょう(上記表参照)



【参考URL】

セキュリティ講座・第11回メールに潜む4つの脅威〜盗聴、改ざん、なりすまし、否認
http://www.salut.ne.jp/wmh/seminar/sc011/
TCP/IP-SMTP/POPとは
http://www.infraexpert.com/study/tcpip17.html
図解で学ぶネットワーク基礎:SMTP/POP3編
http://itpro.nikkeibp.co.jp/article/COLUMN/20071108/286748/
あなたの電子メールは、盗聴されているかもしれません。
https://www.jp.websecurity.symantec.com/welcome/pdf/wp_mailsecurity.pdf
電子メールのセキュリティ
http://www.ipa.go.jp/files/000013807.pdf



 トップへ戻る