最近,顧客などからWebメールの利用に関する相談が多くなっている。企業内の個々の社員が勝手に利用している場合はもちろん,企業として利用する場合に,メール本文を外部に置くことで情報漏えいにつながるのではないかという危機感からだ。企業の機密が漏れることはもちろん,個人のプライバシーにかかわる問題でもある。

 Webメールは,既に多くのユーザーがプライベートのメールとして利用している。“実名”でビジネス用メールにGoogleやYahoo!などの外部サービスを利用しているユーザーも増えている。ただ,自分の電子メールが他人に読まれていたという事例は過去にいくつもあり,決して珍しい話ではない。事業者のサーバーにメールを置くWebメールとなると,不安はさらに膨らむ。

 さすがにWebメール・サービスも,一昔前と比べるとそれなりにセキュリティ対策はとられている。それでも,必ずしも十分とは言えないのが実情である。しかもWebメールのアカウント情報を狙っている攻撃者は世界中に存在する。

 組織や個人の情報を守るためには,Webメールが抱える問題点を洗い出しておく必要がある。今回はWebメールの課題と,自己防衛に向けた対策を紹介しよう。

大切なのは認証の仕組み

 Webメールに関するセキュリティ上の不安要素は3点挙げられる。(1)重要情報が外部のメール・サーバーで管理されること,(2)ユーザー認証がID/パスワードのみと貧弱なこと,(3)Webアプリケーション特有の攻撃が可能になることである。安心してWebメールを利用するためには,これらの対策を考えておかなければならない。どれもネットワーク・セキュリティの観点では基本的なことだが,改めて押さえておきたい。

 メールの管理を外部に任せることについては,メールの利用範囲を明確にしておくことで対処する。例えば企業の機密,あるいは個人情報にかかわるやり取りにはWebメールを使わないなどの運用ルールを決めておく。

 ユーザー認証の対策は,パスワード管理の体制を整えることである。具体的には,一定期間ごとのパスワード変更を励行する。強固なパスワードの設定も欠かせない。同時に,パスワードを忘れたときに利用する「Send email forgot password system」の仕組みが重要になる。容易にパスワードを再発行してしまうシステムでは,攻撃者に簡単に認証を破られてしまう危険性がある。代表的なWebメール・サービスに見られる表1のような手続きがあるかどうか,確認しておきたい。

表1●Webメール・サービスのパスワード再 発行の手続きの例
サービス名 条件
Yahoo!Japan Yahoo!アカウント作成時に設定した生年月日情報
GMail アカウント作成時に設定した質問の答えを入力
Hotmail パスワードの再設定用の電子メールアドレスにメッセージを送信
アカウント情報およびアカウント作成時に設定した質問の答えを入力

 Webアプリケーションの観点で気になるのは,例えばクロスサイト・スクリプティングのぜい弱性である。実際にYahoo!Mailではクロスサイト・スクリプティングのぜい弱性を悪用され,フィッシング詐欺などが発生している。GmailやHotmailについても,同様にぜい弱性が報告されている。

 現在,どのメール・サービスがクロスサイト・スクリプティングのぜい弱性を抱えているかは,/xssed(http://www.xssed.com/)などのサイトである程度確認できる。危険性をわきまえておけば,不審なURLをクリックしないなどの対処によって危険を回避できるかもしれない。

ハッキングの有無を手軽に調べる

 ただし,これらは予防策でしかない。いつ,誰に不正アクセスされたのかを知ることができなければ対策とは呼べない。メールにおいてもインシデント・レスポンスは重要な要素であるのだ。その対策として,Webメールのメールボックス内に簡易的なトラップを仕掛ける方法を紹介する。これは企業内における内部犯罪対策にも応用することができるので,試してみる価値はあるだろう。

 一般に,メール・サーバーへの侵入を試みる犯罪者は,何らかの目的を持って行動している。目当てはオンライン・バンキングやクレジットカードなどの金融情報,上司の情報,恋人の浮気情報などである。こうした情報が含まれていることを匂わす見出しを付けた「おとり」メールを用意し,不正アクセスをあぶり出す。

 ステップは大きく,(1)おとりメールを自分のメール・アドレスに送る,(2)解析用サーバーを設ける,(3)解析するの三つである。まず,適当なWebサーバーに“秘密の画像ファイル”をアップロードし,そのURLを含むメールを自分自身のWebメール・アドレスに送信しておく。Webサーバーのログに画像へのアクセスが確認されれば,侵入者がいたことになる。Webのアクセス・ログだから,「いつ」「どこから」は大体把握できる。

アクセス解析サイトも便利

 アクセス解析サイトを利用する方法もある。OneStatFree.comというサイトが,具体的にログを表示してくれ,分かりやすいので紹介しておこう。

(1)次のURLからOneStatFree.comにアクセスし,ユーザー情報を登録する。http://www.onestatfree.com/

(2)登録したメール・アドレスにOneStatScript.txtというファイルが添付されたメールが届く。このファイルには,ブラウザで開くと自動的にOneStatFree.comにアクセスするスクリプトが記述されている。この添付ファイルを重要情報であるようなファイル名を付けて保存する。例えば「Online Bank Password」や「important」などだ。侵入者は世界各国に存在するため,英語表記の方がいいだろう。内部犯罪を検知することを目的とするのであれば,「合併」などインサイダー的な情報が効果的である。

写真1●Webサーバーへのリンクを埋め込んだトラップ・メールの例
写真1●Webサーバーへのリンクを埋め込んだトラップ・メールの例
HTMLメールにしておけばメールを閲覧するとWebアクセスが発生し,のぞき見られたことがわかる。

(3)保存したファイルをトラップ・メールに埋め込む(写真1)。

 準備ができたら,監視したいメール・アドレスにトラップ・メールを送る。このWebメールを開くと自動的にスクリプトが動くため,OneStatfree.comのレポートを参照すれば第三者に侵入されたかどうかを確認することができる(写真2)。



写真2●OneStatFree.comで提供されるレポートの画面
写真2●OneStatFree.comで提供されるレポートの画面
トラップ・メールからのWebアクセスが発生した件数や日時,アクセス元の情報がわかる。

 メールに限ったことではないが,今や,あらゆる情報がインターネット上のWebという共有ボックスの中で管理されるようになった。当然その中身を覗こうとする輩が出てくる。このとき,パスワードでの保護に頼っているWebメールは標的になりやすいことを肝に銘じてほしい。

 過去のソーシャル・エンジニアリングは人間対人間だったのに対し,今はメールボックスさえ覗くことができれば,多くの情報を機械的に手に入れることができるようになる。パスワード管理を含め,認証はしっかり設定しておきたい。

岩井 博樹(いわい・ひろき) ラックコンピュータセキュリティ研究所 所長
ラックのコンピュータセキュリティ研究所に勤務。IDS/IPS導入設計,コンサルティングなどに従事した後,同社のJapan Security Operation Center(JSOC)にて監視業務に携わる。現在は,セキュリティ技術の研究開発,フォレンジック業務を手掛ける。