S/MIMEのメーラー別対応状況調査-フィッシング対策協議会
フィッシング対策協議会は、一般財団法人日本情報経済社会推進協会(以下、JIPDEC )と協力して、主要な電子メールソフト・サービス(以下、「メーラー」)の S/MIME(エスマイム)対応状況を調査し、結果を公表しています。
今回は、このS/MIMEの使い方と偽装メールの見抜き方について、フィッシング協議会のニュースより紹介します。
そもそも、メールのセキュリティはなぜ低いのでしょうか?
昨今、企業を狙ったフィッシング詐欺被害も増えていることは、情シスの皆さんであればよくご存じのことでしょう。
メールはとても便利な仕組みではありますが、この仕組みが考えられた当初は「利用者はみんな善人」という前提で作られたのではないかと思います。故に、今の状況のように悪用されることまで配慮がされないまま急速に広がってしまったことが、問題の根本かもしれません。
ちなみにWebの世界では、Webの父ともいえるティム・バーナーズ=リーによりW3Cという団体が1994年に創設されており、当初からWeb上で使用される技術を標準化し、よりスムーズな開発や品質向上を目標にしていたおかげで、問題があれば協議し、改善する機会があったことから、今のように進化したのではないかと思います。(常時SSL化や証明書の期限短縮なども関係するでしょう)
では、メールに関してはこのような標準化団体はなかったのでしょうか?
実はメールに関しての標準化はIETF(Internet Engineering Task Force)という団体の中で議論されています。このIETFは「異なるOSを持った 計算機間でのデータ通信を実現するアーキテクチャおよびプロトコルの検討」をするための団体として生まれたこともあり、メールに限らず、コンピュータシステムを相互接続するための共通技術仕様を議論する場として、広く活動しています。
そのIETFにおいて、これまで何度かスパムメールやフィッシング詐欺対策として効果が期待されるメールの送信者認証技術の標準化の議論もありましたが、特定の企業の技術に偏ることは敬遠され、なかなか決まらなかったという歴史もあります。
その後、DKIMが標準化されるなどしているものの、使い勝手のハードルもあり、ブラウザがデフォルトで「https:」となったようには広がっていないのが実情です。
では、S/MIMEってなに?
S/MIMEは本人から来たメールであること、改ざんがされていないことを確認できる機能です。また、暗号化して送信が可能なため、政府機関でも利用を停止するとしたPPAP(暗号化されたZIPファイルをメールで送り、同じ経路で解凍パスワードを送る手法)の代替としても注目されています。
2021年2月25日に開催された JPAAWG 主催の「パスワード付き zip 添付メール問題を考える」のアンケート集計結果において、「興味のある添付ファイルやメールの暗号化方式技術」として S/MIME が最多票となっているという事実もあります。(https://www.jpaawg.org/docs/event/2021ppap/) それだけ、メールの暗号化や改竄対策は遅れていた(あきらめていた?)ということなのでしょう。
S/MIME(エスマイム)とは、Secure / Multipurpose Internet Mail Extensionsの略であり、MIMEでカプセル化した電子メールの公開鍵方式による暗号化とデジタル署名に関する標準規格になります。
このS/MIMEを使うことで、電子メールのセキュリティを向上する暗号化方式として、電子証明書を用いてメールの暗号化とメールへ電子署名を行うことができます。但し、S/MIMEの方式を用いるには、送信者と受信者側との双方がS/MIMEに対応するメーラーを使用している必要があり、ハードルに感じるかもしれませんが、主要なメーラーはこれに対応しています。
フィッシング対策協議会では2021年5月から7月にかけて、5つの主要なメーラーにおいて、OS ごと( Windows10、iOS、Android )に計12種類のS/MIME対応状況について調査を行っています。
S/MIME 電子署名メールを受信してなりすましと区別することができるメーラーは9種類で、OutlookやGmailなど世界的にも普及しているメールアプリケーションソフトウェアは対応済でした。
S/MIME電子署名メールを送信できるメールアプリケーションソフトウェアは、Outlook( Webブラウザ、PCアプリ、iOS、Android )と Thunderbird、iPhone標準アプリのメールの6種類でした。
また、S/MIME暗号化メールの送信も受信も、同様の6種類のメーラーが対応していました。
表1. メーラーの S/MIME対応状況調査結果 <出典:フィッシング対策協議会>
では、有効なS/MIMEメールを受信するとどのように表示されるのでしょうか。
S/MIMEメールの見え方
有効なS/MIMEメールを受信すると以下のような表示がされます。
図1. S/MIMEの表示例 <出典:フィッシング対策協議会>
また、以下のように、S/MIMEメールは S/MIME対応メーラーではマークが表示されるのですが、非対応メーラーでは添付ファイルが付いているように見えるだけとなります。
無害化ソフトの中には、この添付ファイルを有害扱いして、無害化するケースもあるようです。
図2. S/MIME の対応の有無による表示の違い例 <出典:フィッシング対策協議会>
そして最近では、図3のように、Amazonとは無関係の電子証明書を添付してS/MIMEに偽装したメールが確認されています。
これは、S/MIMEに対応していないメーラーを逆手に取った攻撃のようです。
銀行から送信された正規の S/MIME 電子署名メールから銀行の電子証明書情報を抜き出し、攻撃メールに添付していました。
図3. S/MIMEに対応していないメーラーを狙った攻撃 <出典:フィッシング対策協議会>
S/MIMEに対応しているメーラーで本メールを受信しても”s/mime.p7s”が添付されているだけで図2にあるリボンマークなどの有効なマークが表示されませんが、S/MIMEに対応していないメーラーでS/MIME電子署名メールを受信すると、有効無効にかかわらず、受信メーラー側で電子署名情報を添付ファイル( smime.p7s )として自動変換して表示しマークが表示されません。
よって、S/MIMEに対応していないメーラーを利用している方が、S/MIMEのメーラーの挙動を認知していると、S/MIME電子署名がされたメールだと誤解する可能性があります。
S/MIMEに対応していないメーラー上では、偽装されたメールと正規の S/MIME電子署名メールの区別がつきません。
本来であれば、そのようなメールを見ても受信者が偽装と区別ができるように、業界及び各メーラーがS/MIMEに対応することが求められますが、足並みそろえて実施するというような環境にないのが、メーラー業界なのかもしれません。