メール暗号化の現状(2018年)
この記事は移行作業中です。レイアウトが崩れる場合があります。
目次
2018年現在のメールの暗号化についてまとめた。
Googleによる解析 #
2018年のメール暗号化率は、送受信どちらもほぼ横這い。
送信メールの暗号化 #
・ドコモ 暗号化なし、署名あり
・AU ** 暗号化なし、署名あり**
・ソフトバンク 暗号化なし、署名あり
・Yahooメール 暗号化なし、署名あり
・Gmail ** 暗号化あり、署名あり**
Gmail以外は盗聴されるリスクを伴う。流出して困る重要なやり取りは絶対にしてはいけない。
なぜキャリアメールは揃って暗号化しないのか、理由が気になる…
受信メールの暗号化 #
リスクはあくまでもメール送受信時の話で、管理そのものがずさんであれば危険。
<IPA>
**IPA(メールニュース) **暗号化なし、署名あり
メールを盗聴される可能性はあるが、署名があるので改ざんの有無は把握できる。
このサービスにはIDとパスワードという概念がなく、サイトにメールアドレスを入力し、送られてくるメールのURLへアクセスして登録や設定の変更を行う。そのメールも上記の方法で送信されるため、盗聴することで設定の変更ができる。また、設定の変更画面では「受信したいメールの種類」の他に、「年齢(年代)」「居住地(都道府県)」「業種」「役職」「職業」「従業員数」という項目がある。つまり、盗聴されると会社がバレる。名前や住所のような個人を特定される情報ではないが、他のサービスではなかなか手に入らない、攻撃者にとって貴重な情報。
こんなガバガバセキュリティーで真面目に回答する義理はないので、偽情報を登録しておくことを推奨する。
リスク:個人情報流出、他人による設定の変更
IPA(情報処理技術者試験) 暗号化あり、署名あり
2018年秋季のメールは完璧。
リスク:特になし
ちなみに2017年秋季は「暗号化なし、署名あり」だった。しかもGmailでは「サポートされていないアルゴリズムが証明書で使われています。」と表示されていた。
<通販>
メルカリ 暗号化なし、署名あり
お知らせだけでなく、パスワード再発行メールも平文。最低最悪、普通に危険。
リスク:乗っ取り・個人情報流出
楽天 暗号化なし、署名あり
メールにフルネームと住所が記載される。パスワードの再発行メールは暗号化されている。
リスク:個人情報流出
Amazon 暗号化あり、署名あり
リスク:特になし
<銀行・通貨>
ゆうちょ銀行 暗号化なし、署名あり(Gmailでは無効)
登録URLだけでなくワンタイムパスワードも平文で送る。
ただ、ログインIDは郵送で銀行口座の住所に送られてくるので、それが流失しなければ問題にはならない。
リスク:改ざん?
ジャパンネット銀行 暗号化あり、署名あり
リスク:特になし
楽天銀行 暗号化なし、署名あり
ワンタイムキーを平分で送ってくる。盗聴されるリスクはあるが、ログインされなければ問題なし。
ただ、本文にフルネームを入れてくるので、盗聴されると名前がバレる。
リスク:個人情報流出
PayPal 暗号化あり、署名あり
リスク:特になし
Zaif 暗号化あり、署名あり
ビットコインの管理問題はともかく、メールは問題なし。
リスク:特になし
bitFlyer 暗号化あり、署名あり
リスク:特になし
Coincheck 暗号化あり、署名あり
ビットコインの管理問題はともかく、メールは問題なし。
リスク:特になし
おわりに #
数年前に比べると、かなり普及したと思う。
会員制サイトの暗号化はある程度完了している気もするが、メールの暗号化は先送りにされている感じがする。メールでもある程度重要な情報を扱うサイトは多いので、そのあたりもしっかりして欲しい。
暗号化されていないにも関わらず、パスワードや機密ファイルをメールで送る仕事人が山程いるらしい。メールサーバー側の問題なのでサービス提供者には早急に対処してもらいたいが、利用者も最低限の知識は身につけるべき。