メールのセキュリティ対策は進みつつあるのか
株式会社エアー サポート担当
電子メールが使用されるようになってから約40年経ちましたが、長文の見やすさやサイズの制限などから、未だに多く使用されており、特に社外とのやりとりで使用される事が多いようです。
電子メールはその古さゆえに、脆弱性に対し考慮された設計ではありませんでしたが、互換性を保ちながら少しずつ改良が加えられ現在も使われ続けています。
例えば、当初は差出人を簡単に偽証できましたが、DMARC等で守られるようになり、SMTPSやSTARTTLSプロトコルなどの暗号化により利用者は意識することなく脅威から守られるようになりました。
しかし、まだ完全とは言えず、例えば旧システムとの互換性を保つために中継される全ての経路において暗号化等が行われているとは限りません。
セキュリティ対策が不十分なサーバでは、なりすましだけでなく暗号化されていないデータが盗聴されたり、DNS(Domain Name Service)の脆弱性を利用して別の宛先に転送される恐れがあります。
一部のサービスでは受信されたメールの暗号化の状態を確認できる機能があるようですが、やがては一般的にこういった改善がされていくと考えられます。
このようなことはメールにリンクされたサイトでも同じです。
2018年頃より httpのサイトはブラウザで警告が出るようになり、https(SSL/TLSによる暗号化)のサイトが急速に普及しました。httpsは暗号化に加えて第三者による認証を受けたサーバ証明書が付帯しており、証明書の期限が切れていたり偽りがあるとブラウザに警告が表示されます。
警告が表示されるサイトには入らないのはもちろんですが、警告が無ければ安全というわけではありません。
サーバ証明書の認証にはDV、OV、EVの3種類があり、OV認証は企業組織の確認、EV認証は関連事業の法的実体の確認が行われています。
しかし DV認証はサーバのなりすましを防ぐ程度のものであり、証明書の取得は容易にでき、フィッシングサイトでも使用される事が多いようです。
最近の調査※によると、httpからhttpsに移行したほとんどのサイトは DV認証が使われており、これで信憑性を測るのは難しいようです。
こういったこともやがて改善されていくと思いますが、不審な点がないか見極める技術にはまだ多くの課題があり、これからも改善が続けられていく事になると思います。
※ 常時SSL化 調査レポート 上場企業サイト対応状況(2025年6月版)(株式会社フィードテイラーHP)
怪しいメールを警告してEmotetやマルウェアの被害対策に。「受信Alert」など多彩な機能のOutlookアドイン
WISE Alertの概要を見る
これまでの社員コラムをチェックコラム一覧を見る
