メールを暗号化する
電子メールのしくみ
電子メールはどのような仕組みで相手に届くのでしょうか。
送信者はメーラ(メールを読んだり書いたりするソフト、アウトルックエキスプレスなど)でメールを作成します。メーラの送信ボタンをクリックすると、そのメールは送信者が契約しているプロバイダAの
メールサーバに送られます。プロバイダAのメールサーバは受信者(メールのあて先)のプロバイダBのメールサーバを探し出して、メールを送ります。
メールを受け取ったプロバイダBは、受信者から要求があるまで、送られてきたメールをメールサーバに保管しておきます。受信者がメーラを立ち上げると、メーラがプロバイダBのメールサーバに届いているメールを要求し、受信者がメールを受け取ることができるのです。
電子メールの送信や転送の方式に
SMTPが、受信の方式に
POP3という
プロトコルが用いられています。しかし、これらの方式では、メール本文やメール要求をするときにメールサーバに送るパスワードが暗号化されていないので、メールの転送途中で第三者に盗み見される恐れがあります。
そこで、メールを暗号化して大切な個人情報の漏洩を防ぐ方法があります。
メールの暗号化とは
- APOP
プロバイダのメールサーバに届いた電子メールを受信者が要求するとき、要求者が受信者本人であることを証明するために、受信要求にパスワードをつけてメールサーバに送ります。
一般的に電子メールの受信に使われているPOPというプロトコルは、パスワードを平文(暗号化しない状態)で送りますので、途中で悪意のある第三者に盗み見される危険性があります。
それに対してAPOPでは、パスワードを暗号化して送りますのでパスワードについての安全性は確保されていますが、メールの本文は暗号化されていませんので、盗み見される危険性はあります。
- POP over SSL
電子メールの受信時に、パスワードだけでなく、メールサーバから受信者に送られるメールの本文も暗号化します。メールの内容を盗み見される心配がなくなり安全性が向上します。
- SMTP over SSL
電子メールの送信時において、送信者から送信者が契約してるプロバイダのメールサーバまで、メールの本文を暗号化します。
- SMTP Auth
電子メールを送信する際に認証機能を追加した方式のことです。
多くのプロバイダは、契約者からのメールの送信要求を、プロバイダのアクセスポイントを経由しないと受け付けない仕組みになっています。 もし、プロバイダがメールの送信についてこのような制限をしないと、プロバイダと契約していない人もこのメールサーバを利用してメールが送信できてしまい、迷惑メールの配信に利用される恐れがあります。
しかし、正規の会員がインターネット(プロバイダのアクセスポイントを経由しないで)からメールの送信ができないという問題がでてきます(例えば、駅などの無線LANを利用して、メールを送ろうとするとしても契約しているプロバイダからメールが送れない)。
そこで、メールを送る際にユーザIDとパスワードで認証する仕組みを採り入れて、契約者はインターネット(アクセスポイントを経由しない)からでもプロバイダのメールサーバが利用できるようにしました。
- メーラの設定
あなたが契約しているプロバイダが、どのようなサービスを提供しているか確認してください。また、利用する方式に対応したメーラの設定が必要です。
プロバイダや使用しているメーラによって設定の仕方が異なりますので、プロバイダのホームページで確認し、間違わないように設定してください。
電子証明書で安全メール
「メールの暗号化とは」で説明した「POP over SSL」や「SMTP over SSL」は、利用者(送信者又は受信者)とそれぞれが契約しているプロバイダとの間でおこなう通信内容を暗号化するという方式で、プロバイダのメールサーバ相互の通信内容まで暗号化するものではありません。
送信者から受信者へ届くまでのルートのすべてで暗号化し、第三者に内容が改ざんされたり盗み見されないようにしなければ、本当に安全が保たれているといえません。
電子証明書を発行する方法は、こうした心配がなく、安心してメールのやり取りができます。
利用者は「
秘密鍵」を使って電子署名をおこない、公開鍵を電子証明書の中に入れメールを送ります。メールを受け取った相手は、送られてきた「
公開鍵」を用いて内容を読むことができます。このメールが悪意ある第三者によって改ざんされていた場合、電子署名から内容が書き換えられたことを知ることができますので、改ざんや第三者が他人の名前をかたる「なりすまし」を防ぐことができます。
電子署名による「公開鍵」でメールを受け取った相手がメールを返信する際は、利用者の「公開鍵」を使ってメールを暗号化します。暗号化されたメールは「秘密鍵」を持っている利用者のみが読める状態に戻すことができますので、悪意ある第三者に盗み見されるのを防ぐことができます。
なお、電子証明書を利用するには、OS、Webブラウザ、メーラの種類で利用できないこともありますので、あなたが契約しているプロバイダのホームページで確認してから、プロバイダで利用申し込みをしてください。
怪しいメールにご用心
あなたが口座を開いている銀行名で、次のようなメールが送られてきたらどうしますか。
「こちらはXX銀行カスタマーサービスです。 最近、パスワードを盗用して他人の口座から預金を引き出す犯罪が増えております。安全のためにも数ヶ月に一度は定期的にパスワードの変更をお勧めします。変更する際には、他人に推測されやすい生年月日、電話番号、車のナンバーなど、なさいませんようお願い申し上げます。なお、こちらのWebサイトでパスワードの変更をお勧めいたします」と、こんな親切な文章です。
差出人(From欄)はその銀行のドメイン名になっていて、メール(HTML形式)に銀行のロゴマークも入っているので本物のように見えて信用しそうになります。
メールを送信する際に差出人を詐称することは簡単にできますし、ロゴも銀行のホームページからコピーできるので、この程度のメールなら誰にでも作れます。すっかり信用して指示されたサイトをクリックすると、その銀行のホームページに似せたページが現れ、口座番号、暗証番号、旧パスワード(ネットバンキングで預金を移動する際に必要)、新パスワードなどの入力を促されます。もし、ここで入力したなら、あなたの口座からごっそり預金が抜き取られてしまうことになります。
この程度の内容のメールには、「悪意のある攻撃コード」が仕掛けられているわけでもないので、ウイルス対策ソフトもすり抜けます。
この手の被害にあわないようにするには、不用意に口座番号、クレジットカードの番号などを入力しないこと、「おかしいな」と思ったメールのリンク先は絶対にクリックしないことです。
ここまで本文。
