いつも仕事ではGmailを利用していますが、昨日同僚から送信されてきたメールには、何やら怪しいアイコンでマークされていました。メールサービス(プロバイダ)はフリーメールの大御所 @yahoo.co.jp です。じつはこれって途中で盗み見されている可能性がありまよ!ということらしいです。では、Gmailの暗号化に関する警告の目的や、日本で暗号化されていないメールサービス(ドコモ、ソフトバンク、au)、さらには対処方法を挙げてみます。
数日前にから、世界で10億人が利用しているといわれている堅牢なGoogleメールサービス Gmail が暗号化されていないメールの送受信に対して、警告を表示するサービスを導入しました。それが上記の画像で拡大されている部分、赤色の南京錠が開いた状態のアイコンです。 Gmailのこの警告サービスをニュースで知ってはいたのですが、まさか同僚のメールに表示されるとは?
そのメールに返信しようとしても、同様の暗号化非対応の警告アイコンが表示されます。
警告の詳細を見てみると、対策としてヤフーメールを利用している「宛先を削除するか、機密情報を除外することをご検討ください」とあり、深刻な問題であることが分かります。
Gmailもヤフーメールも、ブラウザで閲覧する場合はhttpsで暗号化されているのは確かです。しかし、ヤフーメールのサーバがGmailのサーバとやり取りする場合は、どこかで暗号化されないのです。つまり暗号化プロトコル(TLS)が一方の側(Gmail)だけに対応しているだけでは暗号化されないです。
「それじゃ、暗号化されていないメールアドレスを送受信するとどうなるの?」
技術的な詳細はわかりませんが、ITブログによると、暗号化されていない、つまり平文で送信されているので、どこかで盗み見されていたり、改ざんされている可能性が高いそうです。
- 盗み見・・・記述している個人情報が漏れれる。
- 改ざん・・・別のURLを仕組まれる。添付ファイルに怪しいものが仕組まれる。
考えただけでもぞっとします。
「でも、同僚のメールアドレスは(スパムメールの温床である)フリーメールの @yahoo.co.jp です。 ヤフーメールはHotmail(マイクロソフト)と同様に暗号化されていたと聞いていましたどね?」
実はヤフーはヤフーでも米ヤフーであって孫さんのヤフーは別のものだったんです。
※ 私も仕事で使っているメールアドレスで@yahoo.co.jp を使っていた!やばい。ネットショップにも使っていた。やばい。
衝撃は続きます。以下のメールサービスは 2016年2月11日時点で、暗号化プロトコルTLS(トランスポート レイヤ セキュリティ)に対応していないのです。
- @yahoo.co.jp
- @ezweb.ne.jp
- @docomo.ne.jp
- @softbank.jp
- @softbank.ne.jp
- @willcom.com
ドコモ、ソフトバンク、au 3大携帯キャリアのメールアドレスは全滅です。
※ 暗号化されていないメールサービスの最新の情報を知りたいなら より安全なメール – 透明性レポート – Google からどうぞ。
暗号化されていない日本国内の主要メールサーバ 2016年2016年2月4日時点
実際、私のアドレス帳に登録されている携帯キャリアのメールアドレスに新規メッセージを送ろうとすると、やっぱり「暗号化をサポートしていないよ!」と言わんばかりに警告アイコンが表示されまます。
@softbank.ne.jp は以下のとおり。暗号化されていず。
auの @ezweb.ne.jp も暗号化されていず。
@docomo.ne.jp もだめ。暗号化されていません。これまで沢山の個人情報を載っけてた気がする。恐ろし。
ちなみに、GoogleはGmailのように暗号化をサポートしているメールプロバイダから送られてきたメールであっても、認証されていないないという警告が表示される場合があるとのことです。その場合、改ざんの可能性が物凄く高いそうです。
ですから、@gmailであっても、警告アイコンが表示さえる場合、つまり認証されていないない場合は、決して開いてはいけません。(フィルタリングされて速攻削除されているかもしれませんが・・・。)
以上、暗号化がサポートされていない日本のメールサービスでした。実は何年も前からネット上で指摘されていることを、ヤフージャパンや3大携帯キャリアは対応していないようです。「どうせLINEしかしないだろう!」って感じでしょうか?
コメント