全2645文字
誕生から半世紀以上が経過した現在でも、ビジネスツールとして広く使われている電子メール。だが、利用者が思っているほど安全ではない。
米Google(グーグル)によると、2022年2月10日から同年5月11日の間に同社のメールサービス「Gmail」で送信したメールの18%、受信したメールの12%で通信経路が暗号化されていなかったという。つまり、やりとりされたメールの1割以上が盗聴のリスクにさらされていた。
10通に1通以上のメールは通信経路が暗号化されていない
(出所:日経クロステックが作成)
[画像のクリックで拡大表示]
なおここでの「通信経路が暗号化されていない」というのは、Gmailのサーバーとメールサーバー間で、安全な通信手法(プロトコル)が使われていないということである。例えば送信メールの場合は、Gmailのサーバーと送信先のメールサーバー間の通信のうち18%で安全なプロトコルが使われず、メールが暗号化されていなかった。
Gmailのサーバーと送受信相手のサーバー間の経路に懸念
(出所:日経クロステックが作成)
[画像のクリックで拡大表示]
日本国内のほうが事態は深刻なようだ。インターネットイニシアティブ(IIJ)が自社のメールサービスで2020年10月に調査した結果によれば、送信メールの30.4%、受信メールの37.5%が経路を暗号化されていなかった。
メールの通信は標準では暗号化されない
グーグルが指摘したのはメールサーバー間の通信経路のリスクだが、実際には他にも危ない通信経路がある。クライアントとサーバー間の通信経路だ。
危ないのはメールサーバー間の通信経路
(出所:日経クロステックが作成)
[画像のクリックで拡大表示]
メールの方式には大きく分けてメールクライアント方式、Webメール方式の2種類がある。前者はクライアントに専用ソフト(メールクライアント)を用いる方式、後者はWebブラウザーをクライアントにする方式だ。いずれにおいても暗号化すべき箇所はクライアントとメールサーバー間、メールサーバーとメールサーバー間の2箇所だ。
メールクライアント方式では、メールクライアントからメールサーバーへのメール送信や、メールサーバー同士の送受信にはSMTP(Simple Mail Transfer Protocol)というプロトコルが使われる。また、メールクライアントがメールサーバーからメールを受信する際にはPOP(Post Office Protocol)やIMAP(Internet Message Access Protocol)といったプロトコルが使われる。
これらはいずれも標準では暗号化の機能を備えていない。このため後述するような暗号化の仕組みを導入しないと、メールは経路上を暗号化されずに送られる。実際冒頭で書いたように、暗号化に対応していないメールサーバーが少なからず存在するために、非暗号化経路が残ることになる。
Webメール方式も、メールクライアント方式と同様にメールサーバー間の通信にはSMTPを使う。このため暗号化されない通信経路が存在する可能性がある。
ただしクライアントがWebブラウザーなので、Webの暗号化プロトコルであるHTTPS(Hyper Text Transfer Protocol Secure)を標準で使用する。このため暗号化の仕組みを別途用意しなくても、クライアントとサーバー間の通信は暗号化される。
からの記事と詳細 ( 10通に1通が「盗聴」されるリスク、メールの危険な現状が明らかに - ITpro )
https://ift.tt/bZlfGaC
No comments:
Post a Comment