読み出しを暗号化しないpop3やapopメールは危険か？：セキュリティプロトコルマスター（3）（2/3 ページ）

[福永勇二，インタラクティブリサーチ]

pop3はどうしても危険なのか？

PCからメールサーバまで、pop3でも安全なケースも

　pop3は絶対に危険なのでしょうか？ 必ずしもそうとはいえません。図3を見てください。いま左端のPCがメールを読もうとしています。このときアクセスするサーバ、つまりメールボックスのあるサーバが、PCを接続しているプロバイダで提供しているサーバS1だとしましょう。

図3 メールサーバとのネットワーク上の位置関係がポイント

　このとき、PCからメールサーバまでの間は、すべて利用プロバイダのネットワークです。このような場合、「pop3でも安全」にメールを読み出せる可能性が高いと考えられます。なぜなら、ネットワークそのものがプロバイダの管理下にあり、通常であれば、関係者以外はネットワークに触れることが難しいと考えられるからです。もちろん、関係者が盗聴する可能性はゼロではありませんが、普通はプロバイダの内部規則などが抑止力となって、そういうことは起きにくいはずです。

pop3が安全じゃないのはどんなとき？

目次

pop3s、apop、pop3を比較する

1　メールを安全に読み出すために

ネットワークに生パスワードを送らずにすむapop

2　apopのハッシュってなんですか？

3　apopのどこに一方向ハッシュ関数？

pop3はどうしても危険なのか？

4　PCからメールサーバまで、pop3でも安全なケースも

5　pop3が安全じゃないのはどんなとき？

6　メール配送中は安全なんですか？

メールの読み出し暗号化の意義は？

7　たとえpop3sで読み出しだけ暗号化しても無意味では？

　これについては、接続プロバイダ以外が設置したメールサーバにアクセスすることを考えてみましょう。図3でいうと左端のPCがS2のメールを読む場合です。

　このケースでは、PCからS2にたどり着くには、いくつかのプロバイダを経由します。しかしPCには、どのプロバイダを経由するのかも分かりませんし、そのプロバイダがちゃんと管理をしているのかも分かりません。分かっているのは「危険かもしれない道を通る」ということです。

　こういった場合には「pop3では安全とはいえない」と考えるのが妥当です。apopやpop3sを使うことを検討するべきでしょう。

　なお、このようなケースは、プロバイダの引っ越しなどでも起こります。プロバイダAを退会して、プロバイダBに加入したけど、メールアドレスが変わると困るので、引き続きプロバイダAのメールアドレスを使っているような場合です。その場合、S2がプロバイダAのメールサーバということになります。見落としがちですが、メールを安全に使うためには、覚えておきたいポイントです。

メール配送中は安全なんですか？

　図4の真ん中あたりにあるsmtpサーバ間でのメール配送は、普通暗号化せずに行っています。

図4 メールを送り届ける仕組み

　また、送る側のsmtpサーバにとって、配送のためにどこを通るのか、そこがしっかり管理されているかは、pop3の場合と同様に分かりません。そのため、smtpサーバ間でのメール配送は「安全ではない」と考えるべきです。

　つまり、pop3sで安全にメールの読み出しができるとしても、そのメールボックスに届くまでは安全ではない可能性がある、ということです。「クレジットカード番号など大切な情報をメールで送らない」という常識は、たとえpop3sを使うようになっても、やはり守るべき大切なポイントです。