電子メールの安全性は、基本、他人がその安全を守れない。言い換えれば電子メールの安全を守れるのは利用者以外にない。と言うことについて。
結局は、受信者にしか判らない方法で、送信者がメールを記述するより無い。
かなり前になりますが、電子メールについて、プロバイダーさんに、質問をしたことが有ります。「電子メールって、第3者に漏洩しますか?」と、その回答は実に的を得た回答でした「電子メールに、どうしても安全をお求めに成りたいのなら、ご自身でしっかり勉強をなさって、電子メールというものについて、熟知してからお使いになるのを、お勧めします。」と言うことでした。その時は、なんて、愛想のない人だろうと思いました。でも、この時頂いた回答は、まさに正解でした。
<他人は電子メールの安全を守れない>
<電子メールは単純なのに、複雑>
<電子メールは安全だと勘違いするシーン>
<空気に録音機能は無いが、メール配送路には記録機能が無い事もない>
<ルータのルーティングと、メール配送経路は別次元>
<完璧な暗号化だと何で判断をすればよいか>
<私の歩いた紆余曲折>
—————————————————————————————————
<他人が電子メールの安全を守れない>
他人は、「使い方を伝授する」とか、「注意換気をする」とか、「便利なツールを紹介する」とか、「どう言うメールアドレスから、どう言うメールアドレスへの送信の場合、何処にリスクがあるかを考慮すると良いよ」とか「何処から送信する場合は注意が必要」だとか「何処で受信する場合は注意が必要」だとか、そういうアドバイスをする事は可能ですが、メールを送受信する人の操作次第で、ヘタをすれば漏れたりしてしまいますから、結局は利用者自身が注意深くメール送受信をする事に成ります。
<電子メールは単純なのに、複雑>
「メールを書いて、送付する。」「メールを受信して読む。」と言うだけの事です。そこに、どんなメカニズムがあるのか?と言う事について、利用者がしっかりわかっているか?というと、これが厄介で、判って無いのじゃないかなと思います。
「メールを読み書きする」という、その行為についてさえ、見た目と、実際の処理メカニズムの認識について、認識がズレていて、正しく理解できていない人は多いと思います。
まず一つ目は、電子メールの方式は一つじゃないと言う事。2つ目は異なる方式間でメール送受信をする例も多いと言う事。3つ目は、送り手から受け手までに経由する経路が、利用者には見えない。
「複雑」だと言う理由ですが、電子メールは、様々な技術を寄せ集めて実現しているので、総合トータルとして安全か、安全ではないかを判断出来るようになるまでは、相当広範囲に深い知識を学ばないと、全容が見えてこない。からです。
方式的に通常のSMTP形式のメール配送だと、受信方式にPOP3とIMAPがあります。
電子メールの方式には、有名なところで、「SMTP形式」と「WEBメール形式」と、「SMS形式」が存在します。
SMTP方式の場合、メールアドレスはPOP3サーバーか、IMAPサーバーにメールアドレスが存在します。そして、メールを預けるサーバーがSMTPサーバーです。プロバイダはSMTPサーバーとPOP3(またはIMAP)サーバーのセットで運用しています。
利用者AとBが同一プロバイダに加入していて、別プロバイダに利用者Cが居る場合を想定では、下記の様になります。
利用者Aから利用者Bへのメールの経路は、利用者AがSMTPにメールを預けると、預けられたSMTPは、宛先を調べます。
そして、宛先がよそのプロバイダではなくて自分のところの契約者の利用者Bだと判ったら次のSMTPにメールを預けずに、自分のところのPOP3にメールを預けます。POP3サーバーはメールを預かり、利用者Bが問い合わせてくるのを待ちます。利用者Bが自分のメールアドレス対応のPOP3サーバーにメール到着確認をすると、到着しているので、ダウンロードをしてメールを読みます。
また、利用者Aが利用者Cにメールを出した時は、利用者AがSMTPにメールを預けますと、メールを預けられたSMTPは宛先をしらべて、自分の加入者じゃなく、よその加入者だとわかると、そのメールアドレス(宛先ドメイン)への方路のSMTPを調べて、そのSMTPにメールを託します。そして、託されたSMTPは同じく宛先ドメインを調べてその方路のSMTPに預けます。そのようにして最終的に宛先ドメインのSMTPに渡ると、そのSMTPサーバは自分のドメインのメールアドレス宛なので、POP3サーバーに預けます。メールを預かった宛先ドメインのPOP3(またはIMAP)サーバは利用者Cが問い合わせに来るのを待ちます。そして、利用者CがPOP3サーバーにメール到着確認に来て、到着を知りダウンロードをします。
これは、SMTP方式のメール配送の概略です。
また、昨今インターネットが世界的に普及したおかげで、中間のSMTPに預ける例が減り、ほぼ直通で宛先ドメインのSMTPサーバーに預ける確率が高くなりましたが、絶対に直通で預けられるかはケースバイケースであり確約は出来ません。
この方式ですと、SMTPサーバーにメールの痕跡が残るリスクと、第3者がメールを知るリスクが有ります。
またPOP3サーバーやIMAPサーバーへの接続に使うパスワードが漏れると、そこにメールが留まる期間に第3者が利用者のパスワードでログインして見てしまうリスクも有ります。
野良WIFIなどから不用意にメール閲覧をすると、メールアカウントとパスワードを読み取られかねませんから、TLS/SSLで接続を暗号化することで、パスワードの漏洩をガードする事が大事です。
また知識として、POP3方式で言えば、POP3サーバーへの接続に認証が必要か?必要じゃないか?必要ならその認証方式は?とか、SMTPサーバーへの接続に認証が必要か必要じゃないかとか、TLS/SSL暗号化をどのセッションに利用されているかとか、そう言う知識が最低限必要になります。(安全性が確保されたかを厳密に確認する場合に)。
次に、WEBメール形式ですが、これは、代表例がGMAILです。SMTP方式のメールと、どう違うのか?と言うと、メール読み書きにWEBブラウザや専用アプリケーションを使う事で、WEBメールサーバーと端末との接続に、HTTPSと言う暗号化セッションを使う点が異なります。
この例では、利用者のA,B,Cについては、WEBメールサーバーとの読み書きの接続はHTTPSの暗号化通信で、読み書きを行いますので、他人がその内容を知るリスクがかなり低いと言えますが、問題は、WEBメールにアカウントを持たない利用者Dへのメール送受信です。利用者Dと利用者A(B,C)の通信は、SMTPサーバーを経由しますので、そこで第3者が知ってしまうリスクが伴います。
関係者全員が一つのWEBメールサーバーにアカウントを持てば、よそのSMTPに預けることがなく、安全だと言えますが、WEBメールサービスを提供する組織にしてみれば、利用者A,B,Cの間のやりとりが時系列的に、全部サーバーに存在するため、そのメンバーの活動をつぶさに知ることが可能となってしまいます。
また、他に有名なメール方式としてSMSが有ります。これは電話番号宛メールといえば判りやすいと思います。これは基本、暗号化はありません。事業者Aの端末利用者から、事業者Bの端末利用者にメールを出す場合に、端末入力された文字列をそのまま渡します。SMSは、ほぼ全世界を網羅していると思います。そもそも、日本では、i-modeメールと言う方式が携帯電話に搭載されましたが、海外ではSMSが主流でした。SMSのメールは制限が多いので、インターネットメールである、SMTP方式やWEBメール方式より表現力が弱いです。文字数制限があるとか、利用できる文字コードに制限があるとか、添付ファイルを付けられないとか、そう言う制限があったと思います。
<電子メールは安全だと勘違いするシーン>
・メール伝送において、7ビット伝送をしている例では、8ビットデータだと勘違いして読もうとすると、まるで暗号文のように文字化けしているが、実は7ビット伝送なので、8ビット伝送用に単純にデータ変換をかければ読めてしまう。
・電子メールに使われるTCP/IP通信はパケット通信であり、文章は細かなパケットに分割されて、相手に渡されるため、途中で盗聴仕様としても、文章の一部しか入手できず、全文を入手するのは困難であると勘違いされがちですが、確かに、ルータやHUBでのモニタリングについては、文章の一部しか一度には入手できず閲覧困難ですが、SMTPメール配送は基本的にはファイル転送方式なのです。つまり、SMTPサーバーからSMTPサーバーへファイル転送されます。同じようにSMTPからPOP3/IMAPサーバーへもファイル転送なんです。そのファイル転送を行う通信手段がTCP/IPのパケット通信なので、途中のルータやHUBでは盗聴はやりづらいですが、SMTPサーバー内部では一つのファイルとして存在する瞬間があるため、このファイルを見られれば、メールを盗聴されてしまいます。
・モバイル端末から出る電波は、電波方式がスペクトラム拡散方式なので、解読は、ほぼ不可能。と言う触れ込みについて、確かにその電波の傍受と解析は困難かもしれないが、通常は、受信者に届く迄に何処かでインターネット回線を経由する部分があり、そこは電波じゃないし、スペクトラム拡散方式でもない。
・送信端末と受信端末の間に、多数の中継サーバーを経由するのが通常だけど、利用者はあまり意識しない。
・多数の中継サーバーの保有会社や団体は、単一の企業一社に収まることは少なく、通常、異なる複数社のサーバーを経由する。そのため、ある組織に対して盗聴したんじゃないかと主張するためには、関連する他の組織の無実を根拠としなくてはならなくなる。
・通信の秘密に関する法律が日本にはあるので、閲覧者が居ても他言できないはず。と思いがちですが、経路が国内に収まる保証がないので、海外のサーバーを経由するときに、海外でデータを閲覧された場合に、国内の憲法を持ち出しても効力が無い。よその国にも通信の秘密に関する法律があると思い込むのは早合点で、無い国は先進国でも多く、仮に通信の秘密に関する法律があったとしてもその内容が日本と異なることも有り、知り得た情報を私的に利活用しないさせない歯止めになっていない
。
・電子メールのメーラにTLSやSSL対応の暗号化セッションの仕組みを導入して使っているので見えないはず。と思うかもしれませんが、そのTLS/SSLの暗号化セッションは、受信者まで届くセッションではないということ。そのセッションはメーラーと直近のSMTPサーバー間、またはメーラーとPOP3サーバー間までのセッションを暗号化しているに過ぎず、送信においては、直近のSMTPから先は利用者は制御出来ないし、受信においては、自分の直近のPOP3サーバに到達するまでの間について制御できないのです。
<空気に録音機能は無いが、メール配送路には記録機能が無い事もない>
・空気は録音していないので聞き逃すと、話し手にもう一度尋ねるよりありませんが、電子メールは何処かに電子的に保存されているリスクが有ります。
<ルータのルーティングと、メール配送経路は別次元>
・SMTP転送において、あるSMTP-Aから、あるSMTP-Bへのインターネット経路はインターネットの経路ルーティングに左右されます。
しかし、あるSMTPが、次に何処のSMTPに預けるか、(SMTP-AかSMTP-Bか、SMTP−Cかなど)を判断するのは、インターネットのルーティングでは制御出来ません。SMTPサーバの管理者の意向と判断基準により、次にメールを預けるSMTPは決まります。
<完璧な暗号化だと何で判断をすればよいか>
暗号化方式を検証する組織がそんなに無い。利用者としては噂を信じるしか無い。
一例として、ZIP暗号化と言う方式が有りましたが、昨今108秒で解読される時代になりほぼ無意味になりました。
ZIPと言う圧縮方式があり、それに暗号化機能が追加されたものでした。このZIP暗号化はWindowsも正式に対応していたのですが、最近のWINDOWSではZIP圧縮機能は残しているものの、暗号化機能は削除されました。その理由は、ほぼ無意味になった暗号化機能を搭載しておけば、事情をあまり知らない利用者がその暗号化機能を利用してしまうリスクがある事と、無用な安心感を与えてしまう誤解を与えてしまうため、その問題を避けるためだったと思います。
<私の歩いた紆余曲折>
・niftyやasahi-net等複数のBBSに加入しそこでメール機能を利用していました。当初どこのBBSも相互乗り入れをしていませんでした。ですから、加入するBBS毎の自分のUSER-IDやそれに対応したメールアドレスを持っていました。そのため、コメントを書いたり意見を述べた場合に、私にだけ何かメッセージを送りたい方には、私のUSER−IDやそれ対応のメールアドレスに、ご連絡いただくことになります。
相互乗り入れがないので、私宛のメールがよそのBBSに飛ぶなんてことは考える必要はありませんでした。
・やがて、BBS相互間で、相互乗り入れをする事例が出てきました。niftyとconpservが相互乗り入れをしましたので、日本のnifty加入者はアメリカのcompservの、かなり多くの利用者との直接メール送受信が出来る時代になりました。
この時、niftyのUSER-IDをメールアドレスとしていたのを新たなメールアドレスに変更する必要がありメールアドレスは変更になりました。そして、メールアドレス変更の時に届いたのが、今後のメール送受信での注意事項・留意事項というもので、結構な長文で、注意喚起の内容が届きました。メールアドレスを間違った場合、そのメールアドレスが存在するなら、機械的に届くので、取り消しは出来ないと言う事。メールサービス提供を一社でやっていたBBS時代なら、利用者サービスの一環として、今、出したメールを取り消したいという無理な要望にも答えられたかもしれませんが、よその会社との相互接続では、そう言う利用者サービスは、困難だったのではないかと思想像します。文化も法律も異なる海外とつながるので、トラブルについては一切関知できないので自己責任で対処する必要が有ります。と言うようなことだったと思います。
・PHSのキャラメール、ドコモのPHSに閉じたメールで、とうとう最後まで、相互接続はなかった。
・アメリカ以外の、しかもパソコン利用者じゃない人と、メールする必要が生じた。そこで、調べた結果わかったのは、i-modeメールより、SMSの方が当時(2009年ごろ)はメジャーだということ。端末機種ごとに文字コード体系が異なる場合があり、まず、日本語でSMSを送受信できるのは、日本のメーカの端末しかなく、漢字文化圏の端末でも漢字コードが異なると文字化けして全く読めない。せいぜい1-9,a-z,A-Zくらいしか文字を使うことが出来ない。
・BBSアクセスをワードプロセッサ専用機でやっている人たちが居た。パソコンと異なるコード体系を持つワープロ専用機でBBSに書き込みをされると文字化けして読めない。が同じコード体系の機種を持つ人同士は読めていた。つまり海外と相互接続担ったあとも、ワードプロセッサ専用機を持ち出す人のメールはコード体系が異なるので他人が読みづらかった。というか、niftyとcompservが相互接続をやり始めた1986年の頃には、漢字コード体系を搭載するOSとしては、MS-DOSの日本語版とかWINDOWSの日本語版ぐらいしかなくて、海外で一般的に利用されるWINDOWSやMS-DOSで漢字を表示できなかったと思われます。そのため、日本人同士の漢字かな混じりメールを仮に傍受しても、表示が困難だったのではないかと思います。
・S/MIME暗号化方式の練習。FreeCAと言うサイトが現れて、通常は高価な「公開キー/秘密キー」のセットを無料で払いだしてくれた。事が有りまして、友人とS/MIME暗号方式を試しましたが、暗号処理の負荷がかかりまして、PCがあっつあつ。5人なら、5人毎の公開キーをもらって、それぞれに暗号処理をかけて送り出しますので、単純にCcで5人に当ててメールを出すときに、暗号化なしなら、瞬時に送信処理が終わるのに、それぞれに対する暗号化を行いますから時間がかかりました。でも現在の高性能PCなら、瞬時に送れるでしょう。当時はきつかったです。それと、受信したメールは暗号化された状態で保持されるので、閲覧毎に解読処理が必要であり、やっぱりパソコンがアッツアツになった。これも、当時のPCの非力さゆえの出来事であり、今のPCなら、難なくこなせると思います。
暗号化された状態でメーラーで保持されているので、メール検索が出来ない。
暗号化された状態で保持し続けると、やがて、認証キーの有効期限切れで、暗号解読できなくなる。これについては、パソコンの内部時計を戻せばいいじゃないかと思えますが、大量のメールの引越し作業が発生するので辛い。
メーリングリストとS/MIME暗号方式はあまり、なじまない。S/MIME暗号方式はメールアドレスに対応して暗号化をしますので、メーリングリストの場合、どうすんねん。と言う課題が生じます。解決ソリューションは存在しますが。きちんとメールのことを理解してからやらないと、失敗した時に責任の重さに潰されそうになります。取り敢えず、チャレンジするけど、失敗した時はごめんね。でやらせてもらえれば問題はないのです。
・国家間で軋轢があるような報道を見るにつけ、通信の安全を確保する約束が双方の国家間で保たれる努力が正常に行われているか疑問。言い換えれば、ITでシステムを作るときに通信の安全を確保できないと困るわけで、確保するには法的歯止めなどが正常に機能していることが前提なわけであり、それには、各国が仲良く歩調を合わせている事実がを見ないと信用できないわけでして。それが、実現できる日が来るまでは、通信に信頼を置く根拠がないので、切断とか、改ざんとか、盗聴はあるものとして、事に当たらざるを得ない。
・世界のインターネットメール配送網は、複数の異なる会社や団体、個人の設備で成り立っている。
サーバーとサーバー間の回線は電話会社の設備を借りるけど、コンピュータやサーバは電話会社の設備じゃないし。
・迂回路等で、経路は時々刻々変化している。
・サーバー故障時代替サーバーに、瞬時に切り替わる仕組みは何処にでもある。
・インターネットメールとその配送に係るソフトウェアは単一では無く、改造版もある。
・法的に歯止めがかかっていない国家を経由する通信を利用者が認識できる手段も、保証もない。
インターネットメール配送について、届いていればOKじゃん。
安全を求める声を上げて複雑化させることに意味はないのじゃないか。
それよりも、送信者は、受信者にだけ解読できる文面でメールをする事を考えるか、デリケートな内容はメールに書かないほうがいいのじゃないか。
と言う事で、他人のメールの安全を守ってあげることはとても困難だと思えて。