フィッシング対策協議会と一般社団法人日本情報経済社会推進協会(JIPDEC)は2021年9月に、主要な電子メールソフト・サービス(以下、「メーラー」)の S/MIME対応状況の調査結果を発表しました。本記事では、昨今注目されているS/MIMEの調査結果とともに、なぜS/MIMEがメールのセキュリティ対策に有効なのか、S/MIMEの非対応のリスクと、S/MIME利用のメリットを併せて解説します。
メーラー別のS/MIME対応状況の調査結果
2021年5月~7月にかけて、主要な5つのメーラーに関して、OS ごと(Windows10、iOS、Android)の計12種類のS/MIME対応状況について調査が行われました。
メーラーの S/MIME 対応状況調査結果(出典:フィッシング対策協議会、日本情報経済社会推進協会)
結果は、半数のメーラーがS/MIMEに対応していました。次項では、S/MIME非対応のメーラーを使用することで起こりうるリスクを解説いたします。
S/MIME非対応によるリスク
S/MIME非対応のメーラーにて、S/MIMEメールを閲覧した場合、添付ファイル「s/mime.p7s」が付いていることが確認できますが、本物のS/MIMEメールなのか、偽装されたS/MIMEメールなのかの区別がつかないリスクがあります。
S/MIME の対応の有無による表示の違い例(出典:フィッシング対策協議会、日本情報経済社会推進協会)
実際に、S/MIMEのメーラー別対応状況の調査結果でも、正規のS/MIME電子署名メールから本物の電子証明書の公開鍵情報を抜き出し、「s/mime.p7s」が添付された偽装メールが送られたケースがありました。このように、S/MIME に対応していないメーラーでは、署名の有効・無効に関わらず、「s/mime.p7s」が添付されているように見えるため、偽装メールに対して受信者は署名されていると勘違いし、被害に合う可能性があるため注意が必要です。
電子メールはインターネットを経由してデータの送受信が行われるため、「盗聴」「改ざん」「なりすまし」などのリスクが伴います。電子メールは送信先に届くまでにいくつもの通信経路を辿るため、悪意のある者により比較的容易にメールの内容を盗聴、改ざんが可能です。同様の理由でメール送信者のなりすましも簡単に行えるため、受信者がなりすましメールを受け取ってしまうと、フィッシング詐欺により機密情報を引き抜かれる被害もあります。このようなリスクを避けるためには、電子メールの送受信者は、電子メール、添付ファイルを暗号化し、セキュリティレベルを強化する必要があります。
S/MIMEの普及は、PPAP対策にも対応
電子メールによる盗聴や改ざん、なりすましのリスクを避けるためには、メールの送受信における安全性を向上させる「S/MIME」の利用が有効です。
S/MIMEの役割は、以下の2つがあります。
1. メールの電子署名:正しい送信元であること、改ざんがないことを証明する。
2. メール内容の暗号化:メールの受信者・送信者の双方がS/MIMEの設定を行うことで、メール内容、添付ファイルが暗号化される。
電子署名は、すでに多くの金融機関や公的機関が対応しており、企業・組織全体で利用されています。一方で、メールの暗号化は、メールの送受信者双方に導入の必要があるため、まだまだ導入が進んでいないのが現状です。
S/MIMEの利用企業が増え、普及することにより、メールが暗号化され、「PPAP」対策として非常に有効となります。実際に、2021 年 2 月 25 日に開催された JPAAWG 主催の「パスワード付き zip 添付メール問題を考える」のアンケート集計結果において、「興味のある添付ファイルやメールの暗号化方式技術」として S/MIME が最多票の結果が出ており、「PPAP」の代替手段としても今後の普及が期待されています。
メール送受信のセキュリティを強化する「S/MIME用証明書」
「S/MIME用証明書」は、メール送受信でのセキュリティを強化するには有効な対策です。S/MIMEの設定には、多くの費用と手間がかかる印象を持たれるかもしれません。しかし、業務で利用するメーラーがS/MIMEに対応し、グローバルサインをはじめとした、ブラウザやメーラーから認められた電子証明書ベンダーが提供するS/MIME証明書であれば、複雑な設定は必要ありません。
また、グローバルサインのサポートページでは、Outlookや、Windows メール、iPhone・iPadメールなど、各メールクライアントへのS/MIME用証明書の設定方法を案内しています。
日々送受信する電子メールのセキュリティ対策は、企業の情報漏洩のリスクを軽減する手段の一つです。S/MIMEの利用により、自社だけでなく顧客の機密情報の保護にもつながります。対策が未実施の場合は、「S/MIME証明書」の導入を検討してみてはいかがでしょうか。