「メールの安全性は当然確保されているもの」と考える人は少なくない。ユーザー(および企業)はあらゆる機密情報をメールで送信し,しかるべき相手だけに届くと思っている。
しかし,このような前提を設けることはよくない。
メールは,Webアプリケーションによるパスワードのリセットや,金融サービス・サイトのユーザー情報更新,友人や家族の個人情報連絡などにもよく使われる。こうした情報は,悪人の手に渡るとどれも個人を危険にさらす。身元情報の窃盗,情報の流出,企業機密の漏えいといった,お決まりの問題につながる可能性がある。
郵便が複数の人の手を介して届けられるのと同じように,メールは複数のサーバーを経由する。送信者は一般に,契約ISPが運営しているSMTP(または類似の)サーバーにメールを直接送る。メールを受け取ったサーバーは通常,受信者のサーバーにメールを転送する(転送先サーバーの運営は,受信者の契約しているISPや,勤めている会社,その他メール・サービスを提供している個人が行っているだろう)。その結果,受信者は自分の都合のよいときにメール・サーバーからメールを取得する。
米経営者協会(AMA)によると,経営者の4分の3以上が自社のメール・サーバー上で従業員のメールを監視している(PDF形式のレポート。閲覧には無料登録が必要)。つまり,個人的なやり取りもすべて上司や社内の誰かに見られることになる。パスワードや金融取引の情報,母親からのメールは,仕事用のメール・アカウントを使うと筒抜けになりかねない。メールが社内で監視されていないとしても,腹を立てたか,悪意を抱いたか,単に退屈しただけのIT管理者が一人いれば,メールは盗み見られてしまう。秘密だと思ったメールでも,暴露されることがあるのだ。
まさにこうしたトラブルが,2007年9月に現実のものとなった。米メディアディフェンダーという企業から6000通以上のメール(データ・サイズは700Mバイト)が漏えいし,インターネットで公開されたのである。漏れたメールには,政府の秘密計画や,従業員からドミノ・ピザに送ったペパローニ・ソーセージ・ピザの注文など,あらゆる情報が含まれていたという。メールを送る際に,ユーザーはプライバシーが守られるという何らかの期待を抱いていた。ところがメールは,習慣的な処理に従い,地域によっては記録保存という法的な要求に従い,サーバー上に保存してあった。あなたは最近,内容が公になったら送信したことを後悔するようなメールを何通送っただろうか。
企業の多くは,メールによる通信の暗号化を,特にメールが保存される場合について真剣に検討すべきだ。暗号化という簡単な一手間が,将来発生する多くのトラブルを減らしてくれる。
Copyrights (C) 2007 Symantec Corporation. All rights reserved.
本記事の内容執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「How Secure is your Email?」でお読みいただけます。
