日々無数にやり取りをする電子メール。しかしその中には「偽装」「改ざん」などを企むサイバー犯罪者が潜んでいる可能性があります。ここではそのようなサイバー犯罪対策として、電子メールを送る側も受け取る側も安心安全にやり取りをするための方法を解説します。

電子メールをセキュアに送る

ネットワーク上に潜む「サイバー犯罪者」

送信者が電子メールを送信して正しい送信先である受信者に届くまでの間に、その電子メールの内容はネットワーク上に潜む多くの「サイバー犯罪者」にさらされています。

電子メールは送信者が利用しているメールサーバから、受信者の利用しているメールサーバに直接届くわけではありません。両者のサーバの間を通信する際に他の様々なサーバを経由して送信者から受信者に届けるのが、電子メールの基本的な仕組みです。タクシーを使って何の寄り道もせずに荷物を届けるイメージではなく、送信者が運送会社に荷物を渡し、それをいくつかの運送会社が委託を繰り返して、ようやく受信者に届くイメージです。送信者と受信者のサーバの間を経由する経路については規定がないため、ユーザが選択することはできません。つまり私たちのメールは常に「どこかのサーバ」を経由して、送受信が行われているのです。

もしかすると経由するサーバは、セキュリティ上問題があって容易に侵入され盗聴や改ざんが行われる可能性もあります。このように考えると、電子メールの送信者と受信者の間には多くの危険が潜んでいることがわかります。

「フィッシングメール」の手口

「フィッシング詐欺」もネットワーク上のサイバー犯罪者が仕掛ける罠の一つです。「フィッシング」のスペルは「phishing」。魚釣りの「fishing」と洗練を意味する「sophisticated」を組み合わせた造語だとされています。

「フィッシングメール」の手口

フィッシングメールはフィッシング詐欺の典型的な手口で、クレジットカード会社からの重要連絡を騙る電子メールをユーザに送信するなどして、個人情報を盗み出そうとします。具体的にはユーザの不安や興味を煽る内容でリンクをクリックさせ、その先に本物そっくりに似せて作ったサイトを用意しておき、そこでクレジットカード番号や暗証番号、口座番号などを入力させます。

近年クレジットカード会社などからのメールの冒頭に「当社を騙るメールにご注意ください」「不正なログイン画面にご注意ください」と記載されているのは、このフィッシングメールへの注意喚起です。フィッシングメールは日々巧妙さを増しています。
フィッシングに関するニュース

S/MIME用証明書が対策として有効

こうした電子メールに潜む危険から身を守るために必要なのが「S/MIME(Secure/Multipurpose Internet Mail Extensions):エスマイム」と呼ばれる暗号化方式です。これを利用すれば電子証明書を使った電子メールの暗号化と、電子署名が可能になります。S/MIMEには送信者・受信者の双方がS/MIME対応のメールソフトを採用していなければ利用できないというデメリットがありますが、Office365などのウェブメールも含め代表的なメールソフトであればほとんどが対応しています。

S/MIME用証明書を入れておくことで、配信途中に改ざんが行われた場合、受信側のメールソフトで自動的に警告が表示され、開封時に注意喚起をします。

「このメッセージのデジタル署名は、無効であるか信頼されていません。」
「このメッセージの内容に変更が加えられている可能性があります。」

こちらはWindowsのOutlookが、改ざんを検知したときの警告メッセージです。「このメッセージのデジタル署名は、無効であるか信頼されていません。」と表示され、詳細をクリックすると電子署名の署名者や、エラーが出た理由などが確認できます。

電子署名・電子証明書を確認して詐欺を見破ろう

電子メールの電子署名を確認する

メールソフトが自動的に警告を表示する場合であっても、改ざんが検知される場合であっても、その電子メールにどのような電子署名が施されているのかを確認する方法は存在します。以下ではOutlook 2016の場合となり、具体的な方法は各種メールソフトによって異なります。

ill_email_smime03.jpg
ill_email_smime04.jpg
ill_email_smime05.jpg

電子メールのリンク先の電子証明書を確認する

電子署名のない電子メールにリンク先が表示されている場合は、フィッシング詐欺でないかを疑いましょう。

SSLを導入しているサイトと導入していないサイトの違いまずはサイトが電子証明書(SSLサーバ証明書)を導入しているかを確認します。導入しているサイトはページ上部のURLが「https」から始まり、URL欄に南京錠のマークが表示されています。導入されていないページではURLは「http」で始まり、南京錠のマークも表示されません。

サイトが電子証明書を導入していることを確認したら、次は以下の手順で電子証明書の内容を確認し、サイトの所有者や電子証明書の有効期間などを調べましょう。

  1. URL欄に表示されている南京錠のマークをクリックし、「証明書の表示」をクリックします。すると「ウェブサイトの所有者」「証明書の発行機関」「証明書の有効期間」が表示されます。
  2. 「詳細」タブをクリックすると、さらにウェブサイトの運営主体や公開鍵などを確認することも可能です。
  3. もう一つのタブ「詳細のパス」をクリックすると、大元の電子証明書である「ルート証明書」も確認できます。
    ※Internet Explorer 11の場合

なお、電子証明書から所有者を確認できないサイトやページでも、認証局から電子証明書の提供を受けている場合は、サイトに掲載されている「サイトシール」からそれらの情報を確認できます。

サイトシール

サイトシールとは認証局のサービスを受けていることの証明であり、これをクリックすることでサイトの所有者などの情報が表示されるようになっているのです。アクセスユーザとしてサイトを利用する際はもちろん、サイトを運営する側としてもシールの掲載は無料なので、ぜひ有効活用したいアイテムです。

電子メールの安心安全は「S/MIME」が握っている

「S/MIME」のメリットはサイバー犯罪者の攻撃から電子メールのユーザを守ってくれるだけではありません。送信者に対して不安を感じたときは電子メールの電子署名やリンク先の電子証明書を確認すれば、相手が正しい相手なのかを確認できるため、自分が安全な相手だということを受信者に対してアピールする手段としても利用できます。したがって「S/MIME」は1対1のやりとりだけでなく、ダイレクトメールなどの1対多数のやりとりでも大きな効果を発揮します。送信者としても受信者としても安心安全に電子メールを利用したいのであれば、「S/MIME」の利用は必要不可欠だと言えるでしょう。

トピック関連記事

#

2018年06月12日

本当に本人から?見えない相手の真偽がわかる「電子署名」

#

2014年01月10日

モジラ:ルート証明書へのトラストビット設定について

#

2015年06月18日

近年の情報漏えいとE-Mailセキュリティの必要性

この記事を書きました

グローバルサインブログ編集部

グローバルサインカレッジ編集部
所属:GMOグローバルサイン マーケティング部
当サイトの運営・管理を担当。