ほとんどの人が、メールを送信するときには相手が読んでくれると勝手に信じ、受信したときには差出人と内容が正しいと勝手に信じて、メールというシステムを使っている。
メールの動作は誰も保証していない
インターネット上で利用されているものの中で、Webと同じく普及しているのがメールである。わざわざ「電子メール」や「Eメール」といわずとも、「メール」で通じるようになってから何年もたっている。
利用者の大半が、メールというシステムの仕組みを知らずに使っている。それは、世にあるほかの便利な道具類と同様に、「知らなくても不都合が生じないから」といったところだろう。確かに、水や電気などのインフラ、車やコンピュータなどの機械、郵便や宅配便などのサービスは、利用者がその仕組みを知らずとも信頼するメーカーや運営会社があり、動作や品質について保証しているので安心して使うことができている。
しかし、メールはどうだろうか。
インターネット全体やメールという仕組みを運営している組織は存在しない。メールサーバや回線、アプリケーション、OSなどは誰かが保証してくれるかもしれないが、メールという仕組みは誰も保証していないのだ。インターネットはそういうものなのだ。
仕組みも知らない、誰も動作を保証していない、それなのにメールを送る側も、受け取る側もそれまでの利用経験だけでメールを信用している。送信者はメールが確実に相手に届いて読まれていると信じている。受信者はメールに書かれている差出人と内容が正しいと信じているのだ。
出したメールは必ず読まれていると信じている
メールという仕組み全体は誰も保証していないと書いたが、あらゆるところで信頼性を高めるためにさまざまな技術が使われていて、実際、送信したメールはほぼ100%の確率で受信者側のメールサーバまで到達している。相手のメールサーバまで届いているのにメールが読まれていない可能性があるのは、次のような問題があるからである。
ここ何年かで急激に増えている迷惑メールのために、会社やISPなどではメールサーバ上でスパム対策やウイルス対策として何らかのフィルタリングを行っていることが多い。また、個人のPCにも同様のアプリケーションが入っていることもある。これらの対策はフィルタリングを行った結果、メールの振り分けなどを行い、ユーザーに知らせることなくメールをゴミ箱に直行させることもある。
送信したメールは相手の近くか手元まで届いたが、読まれるには至らなかったということだ。このほかにも送る相手を間違えただとか、ハードディスクが物理的に壊れたとか、受信者が単に読まなかったという話もあるだろうが割愛させていただく。
筆者自身も、必要なメールをごみ箱で発見してしまった経験が何度かある。もしかすると、スパムフィルタなどが標準となりつつある昨今では、フィルタに引っ掛かってしまうようなメールを書いた方が悪いと考えなければならないのだろうか。しかし、送信者が確実に相手に届いていると信じている以上はそういうわけにもいかず、筆者は定期的にごみ箱をのぞくようにしている始末である。
届いたメールの差出人と内容は絶対に正しいと信じている
フィッシング詐欺やウイルスのたぐいが横行したおかげなのか、メールの差出人(メールの「From:」欄)を偽ることができるということを知っている人は多い。あまりにも怪しい内容のメールや、パスワードやクレジットカード番号などの重要な情報を要求するメールの差出人を100%信じられない人もいるだろう。
大きなうそが書かれていれば、メールが詐称されたものだと疑うかもしれない。しかし、小さなうそ、例えば差出人が同僚で、「会議は13時開始から16時開始に変更になった」という程度の偽メールならば、同僚が同じフロアにいたとしても真偽を確認すらしないかもしれない。
メールは簡単に詐称できる仕組みである。だからといってすべてのメールを疑って調べにかかると不便でしょうがない。なので、基本的にはメールに書かれている差出人と内容は正しいと信じるしか仕方がないのかもしれない。
だが、そうもいってられない状況がやってくる。日本版SOX法(通称)の施行である。企業などでは会計監査のために必要な取引の証拠にメールも含まれるようになるという。そのため、メールを安全に保管しておくことが必要になる。
しかし、送信者はいくらでも差出人や内容を詐称したメールを送りつけることができる。例えば、偽の注文書のような会計を混乱させる書類を添付して、取引先の人物になりすましてメールを送る。その偽メールが保管されていたために、後日、受け取った企業は困ったことになるという話も現実に起こるかもしれない。
また、受け取った人間はおかしいと思って書類を会計処理に回さなかったとしても、何年後かにそのメールだけが生きてきて(保管されていて)、証拠として扱われるかもしれない。そのとき、担当者が退社していたら、そのメールが詐称されたものかどうかの判断材料は少なくなるだろう。
“普通”のメールの真偽を確かめる決定的な技術がない
DomainKeysやSender IDなどの送信ドメイン認証や、S/MIMEなどを利用した電子署名や暗号化など、送信者側が「自分は正しい」とアピールする方法はある。しかし、多くのメールはそういった技術を使わずに送信されている。そのような“普通”のメールの真偽を確認するための決定的な技術はなく、真偽を確かめることは難しい。また、詐称されてしまった人が、偽メールの存在に気が付くことも難しい。
企業内インフラからのメール送信時に、差出人に応じて自動的に電子署名を付加して送信するソリューションもあるが、まだまだ差出人の身元を保証することは面倒で、送受信者ともに不便を強いてしまう仕組みしかない。しかし、それなのに受信者は差出人と内容を正しいと信じているのだ。
もしかすると筆者の名前をかたったメールがどこか知らないところでやりとりされているかもしれないが、それを知る由もない。普段から私がメールを送るときには常に電子署名を付けるなどして、そういう人だということを印象付けておき、身元を確認する手段が何もないメールは偽物だと受信者に知ってもらうなどの努力をしないといけないのだろうか。
メールの配送システム自体はある程度は信頼できるので、利便性のためには信用できずとも、このまま使い続けるしかないのが現状のようだ。笑い話にしておきたいが、「さっき、こんなメールを送ったよ」「こんなメール送った?」と電話やFAXなどで確認することは、場合によっては必要なのかもしれない。
Profile
上野 宣(うえの せん)
1975年京都生まれ。情報セキュリティを世に広げるべく、講演や執筆活動とさまざまな方面で活動中。近著に「今夜わかるメールプロトコル」、「今夜わかるTCP/IP」、「今夜わかるHTTP」(共に翔泳社)がある。
- 今夜こそわかる安全なSQLの呼び出し方 〜 高木浩光氏に聞いてみた
- 「わざと脆弱性を持たせたWebアプリ」で練習を
- Perl Mongersはセキュリティの夢を見るか?
- 誰がシステムのセキュリティを“大丈夫”にするのか
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(後編)
- 技術は言葉の壁を越える! Black Hat Japan 2008&AVTokyo2008(前編)
- キャンプに集まれ! そして散開!
- 売り上げ重視か、それともセキュリティ重視か!? 「安全なウェブサイト運営入門」
- CeCOS IIにみるネット犯罪のもう一方の側面
- セキュリティ対策の行き着くところは……最終手段? 京都に究極のセキュリティ対策を見た
- 人はオレを情報の破壊神と呼ぶ せめて、ハードディスクの最期はこの手で……
- セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
- セキュリティ自由研究:この夏、グミ指を作ってみないか
- Webアプリケーションを作る前に知るべき10の脆弱性
- セキュリティを教える人に知ってほしい 基本が詰まった1冊
- セキュリティのバランス感覚を養うための1冊
- 暗号化仮想ドライブで手軽にファイルを暗号化
- Windows管理者必携、Sysinternalsでシステムを把握する
- 今夜分かるSQLインジェクション対策
- 「取りあえず管理者アカウントで」という思考停止はもうやめよう
- CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは
- 偽装メールを見破れ!(後編)
- 偽装メールを見破れ!(前編)
- メールは信頼できても信用できない
- 危機管理体制を整えよう! 個人情報漏えい後の対応ガイドライン
- メールアドレスを漏えいから守る方法
- 「Whoppix」を使ってペネトレーションテストをやろう
- 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
- 25番ポートの攻防
- 平田です。届いてますか?
- 魔法の鍵と最後の鍵
- 個人情報保護法を論理的に読み解く
- 安全確保のために東京は明るく! 大阪は暗く!
- 言論の自由とセキュリティコミュニティ
- 標的にされる無防備なコンピュータ
- セキュリティ担当者には想像力が必要
- 端末を持ち歩くことの危険を意識せよ! 〜 「ノートPC=自動車」論 〜
- 脆弱性のあるサイトとセキュリティ技術者の関係
- いまこそ一般教養としてセキュリティを!
- 大事なことは製品でもなく知識でもなく……
- 治安の悪化で改めて痛感したこと
- Blasterがもたらした多くの“メリット”
- 企業でのセキュリティ資格の意味合いは?
- 人はミスをするものと思え、故に事前対策が重要
- オレオレ詐欺に学ぶソーシャル対策
- あらゆる人にセキュリティ教育を
- 猛威を振るうSARSウイルスに思ったこと
- 痛い目に遭って考えた、ビジネス継続性の重要さ
- 責められるべきはMSだけだろうか?
- セキュリティ技術者を「憧れの職業」にするには?
Copyright © ITmedia, Inc. All Rights Reserved.