無線LANアクセス・ポイントなど，インターネットにつながる環境があれば，持ち歩いている自分のパソコンからメール・サーバーに簡単にアクセスできる。しかし，そこには思わぬ落とし穴がある。メール・サーバーへのログインにはユーザー名とパスワードを送るが，その肝心なパスワードが暗号化されないのが普通なのだ。このため，クラッカなどにパスワードが漏れてしまい，不正利用されるかもしれない。

　プロバイダのメール・サーバーから受信メールをダウンロードするときに，メール・ソフトはPOP(ポップ)というプロトコルを使う。このPOPは，メール・ソフトがメール・サーバーにテキスト形式のコマンドを送り，その応答をサーバーから受け取ることで成り立つ，単純なプロトコルである。

　ユーザー名を送るときはUSER（ユーザー）というコマンドのあとにユーザー名が続くパケットを送る。同じように，パスワードもPASS（パス）コマンドの後ろにパスワードを続けて送る。クラッカが送受信パケットを傍受すれば，ユーザー名やパスワードは簡単にわかってしまうのである（図1）。

図1●POPでは，パスワードが平文のままサーバーに送られる

POPはユーザー名やパスワードを暗号化しないでサーバーに送る。途中で盗聴されれば丸見えだ。

[画像のクリックで拡大表示]

　ひとたびパスワードが漏れれば，クラッカにメール・サーバーを自由に利用されてしまう。受信メールが勝手にダウンロードされて，中身を読まれるのは当たり前。迷惑メールやウイルス入りメールなどをばらまくために利用されたりもする。POPによるパスワード認証は，受信のときだけでなく，メールを送るときにも使うことがあるためだ。

　しかも，クラッカが他人のメール・アカウントを勝手に使っていることは気づきにくい。プロバイダのメール・サーバーは，正しいパスワードを使ってアクセスしてきたユーザーは正規ユーザーだと見なす。このため，知らないうちに何カ月も自分のメール・アカウントが他人に不正利用され，ほかの人に悪さをしていたといった事態になりかねない。

出先からのアクセスが危ない

　ただ，「丸見え」といっても，いつも危険というわけではない。

　パスワード漏えいの危険があるのは，外出先からのアクセスだ。ホテルのブロードバンド接続サービスや，無線LANアクセス・サービスなどを利用するときである。

　さらに危険なのが，いつも自分がアクセスしているプロバイダのメール・サーバーへ海外からアクセスするときである。国内プロバイダが用意している海外接続サービスは，現地のプロバイダのネットワークを使ってインターネットにつなぐ。現地プロバイダの中には，セキュリティ意識が低いところもある。実際，海外のプロバイダ経由で日本へアクセスして，パスワードなどが盗まれる事件が，たびたび起こっている。

　つまり，メール・サーバーまでの途中に信頼できない第三者が介在したり，無線LANのように簡単に傍受できる区間がある場合は，パスワード漏えいの危険にさらされていると考えるべきである。

　逆に，自宅からアクセスするのであれば，危険はさほど大きくない。メール・サーバーまでの間に経由するプロバイダは1社だけになるからだ。会社のパソコンから社内のメール・サーバーへアクセスするケースも，ほぼ同じである。