メールを暗号化していますか

トップイメージ:メールを暗号化していますか
公開日 2021年3月14日 | 更新日 2021年3月14日

機密情報は暗号化ソフトを使う。もしくは添付ファイルにして圧縮しパスワードをかける。だからメールを暗号化しなくたって大丈夫 -- なんてタカをくくっていませんか? 本稿では、機密情報だけを隠してもダメな理由を説いたうえで、送受信する全メールを自動的に暗号化する方法を紹介します。

暗号化されていないメールはどうして危険なのか

暗号化されていないメールはすべて平文で送られるため、第三者がメールを盗み見た場合、機密情報は隠されていたとしても、誰から誰へ、どんな内容のメールがやり取りしているのか等がわかってしまいます。送信者と受診者それぞれの立場や関係性、現在進行中の取引状況等がバレバレのため、ハッカーがどちらかになりすましてもっともらしい内容のメールを送信すれば、簡単に相手を騙すことができます。

2017年、日本航空(JAL)の取引先になりすまして、まんまと約3億8000万円を詐取するという事件がありました。経緯はこうです。

JALの担当者が旅客機のリース料をめぐって、正規の取引先とメールでやり取りをしていました。取引先がPDF請求書を送信した直後、その取引先になりすました犯人が「訂正版」として振込先を変更したニセの請求書を送りつけ、3億8000万円を騙し取りました。
JAL担当者がそのニセ請求書に騙されたのは、1回目のメールが送信された直後に、請求書のフォーマットも担当者名も同じ「訂正版」だったからです。しかも、送信元のメールアドレスを取引先に酷似していました。
あきらかに、犯人は、予めJAL担当者と取引先のやり取りをモニタして、犯罪の準備をしていたと推定できます。

記事にもあるように、こうした手口の犯罪はすでに何件も発生しています。
いわゆる標的型メール攻撃は、暗号化されていないメールのやり取りを盗み見ることで、攻撃準備を進めると考えられます。ですから、機密情報だけ隠してもダメなのです。

なお、機密情報を添付ファイルにして圧縮してパスワードを掛けるという方法は副反応を伴います。
圧縮ファイルはウイルスチェックできないため、ウイルス感染のリスクが高まります。

メールを暗号化するには

標準的な暗号化(TLS = Transport Layer Security)に対応しているメールサーバにメールアドレスを設定し、それを使うようにすれば、送受信の際、何もしなくてもメールが自動的に暗号化されます。
では、今、お使いのメールサーバがTLSに対応しているかはどうやって調べればいいのでしょうか。

もし gmail をお持ちなら、現在のメールアドレスから gmail へメールしてみてください。受信メールのタイトルの下、送信元のメールアドレスの下に、「To 自分」とあり、その右の下向き▼をクリックすると、メール情報の一覧が表示されます。セキュリティの欄に、グレーの南京錠と「標準的な暗号化(TLS)」が表示されればセーフ、赤い壊れた南京錠と「このメールは xxxx.xxx で暗号化されませんでした」となっていたらアウトです。
図:gmailで受信メールが暗号化しているか確認する

gmail をお持ちでない場合は、次のサイトが役に立ちます。

MSchecker メールサーバセキュリティ診断

上記調査で、暗号化されていないという結果が出た場合、もう1点確認してほしいことがあります。
メールサーバの中には、メール設定時にはTLSに対応していなかったが、その後に対応するようになったというケースもあり、その場合、メールソフト側でも設定を変更しないと、暗号化されません。
ですので、念のため、直接メールサーバを運用しているホスティングサービスやプロバイダが問い合わせてください。もし、TLSに対応しているのであれば、メール設定の仕方についての最新の資料に基づき、メール設定を見直してください。

ホスティングサービスはTLSに対応しているところが多いので、仮に、お使いの独自ドメインのメールがTLSに対応していないのであれば、TLSに対応しているホスティングサービスにドメインごと乗り換えることをお勧めします。いまだにセキュリティ対応ができない業者を使い続けるのは危険です。

暗号化に対応していない大手キャリア&プロバイダ

ホスティングサービスに対して、ケータイキャリアやプロバイダのTLS対応は遅れています。下記リストは、暗号化に対応していない大手キャリア&プロバイダをピックアップしました。

  • ezweb.ne.jp
  • softbank.jp
  • yahoo.co.jp
  • nifty.com
  • plala.or.jp
  • biglobe.ne.jp
  • ocn.ne.jp
  • so-net.ne.jp

それにしても利用者の多いキャリアメールがいまだに暗号化未対応というのは由々しきことで、ユーザーは大いに怒っていいことだと思います。
国全体のITC化を推進したのであれば、通信料金の引き下げよりも、メールの暗号化こそ優先すべきです。

それはともあれ、個人的に使うキャリアメールやプロバイダメールが暗号化未対応の場合、どうすればいいのでしょうか?
暗号化に対応しているメールアドレスを取得し、そちらを利用されることをお勧めします。

暗号化に対応しているフリーメール

  • Gmail
  • Outlook
  • Proronmail

なお、一点、注意してほしいことがあります。
メールの暗号化は送受信する双方のメールサーバが暗号化に対応していないと、いくら自分の側が暗号化していても、そのメールは平文のままやり取りされます。
ですから、社会全体で、メールの暗号化を推進する必要があるのです。

まとめ

機密メールだけ暗号化したり、機密情報を圧縮してファイルにパスワードを掛ける方法では、メールのセキュリティは保たれません。メールは本文の重要性に関わらず暗号化しておかないと、ハッカーから盗み見られ、送信者/受信者の立場や関係性、進行中の取引状況等がわかってしまうからです。こうした情報が把握できれば、ハッカーは送信者/受信者どちらかになりすまし、人を欺くことができます。これが標的型メール攻撃の引き金になります。
標準的な暗号化(TLS)に対応したメールサーバにメールアドレスを設定し使うことで、特別な設定なしに、メールの送受信を暗号化することができます。ただしメールの相手が暗号化していない場合は、暗号化できません。

著者紹介

管理人
津田頼子 Tsuda Yoriko

Webデザイナー&フロントエンドエンジニア。
有限会社デジタルエイド代表。

コメントを残す