タグ: SSL

メールの暗号化とは?Gmailの暗号化設定によりメールに対するセキュリティー意識が向上。

メールの暗号化とは?Gmailの暗号化設定によりメールに対するセキュリティー意識が向上。

メールマーケティングノウハウ • 2019.08.09

皆さんは、メールを暗号化して送受信をされていますか? 昨今のニュースで、企業のサーバーがハッキングされて個人情報が流出するという話を耳にすることがあります。メールの暗号化がされていなかったばかりに、第三者からハッキングされ、メールを送っている側だけでなく、他の人たちにも迷惑をかけてしまう危険があるのです。 ということで今回は、メールの暗号化を推奨しているGmailの機能を例に挙げながら、「そもそもメールの暗号化とは」「グローバルでのメール暗号化の状況」「設定方法」「なりすましを防ぐDMARCについて」などメールのセキュリティーについてご紹介します。 (目次) 1. メールの暗号化とは? 2. Gmailにおける暗号化の確認方法 3. グローバルでのメール暗号化状況 4. メール暗号化の必要性とリスク 5. メールの暗号化の仕組みと設定方法 6. Benchmark Emailで送られるメールは暗号化されている 7. メールのセキュリティーにはDMARCも重要 メールの暗号化とは? メールの暗号化とは、本文や添付ファイルを含むメールでのやりとりの内容を第三者に盗み見られないようにするための技術です。 メールは多くのサーバーを経由してやりとりがされるため、その途中で情報を盗まれるリスクがあります。暗号化ができていれば、メールを送信する際に内容が自動的に暗号化され、盗み見や改ざんなどを防ぐことが可能です。 Gmailにおける暗号化の確認方法 Gmailでは、「メールが暗号化されているかどうか」の確認が簡単に可能です。 暗号化されていないメールに「?」が表示されてすぐに分かる [caption id=\"attachment_534\" align=\"alignnone\" width=\"700\"] 出典元:Official Google Blog: Building a safer web, for everyone[/caption] Googleは、2016年2月9日に「暗号化されていないメールがひと目でわかる」新たな機能をGmailに追加しました。 この新機能では、Gmailを利用したメール送受信において、SSL/TLS暗号化に対応していないメールサーバとのメールのやり取りを行った場合、暗号化されていないメールの送信者名のプロフィール写真に「?」が表示されるようになりました。 メールを完璧に暗号化するには、送信側と受信側の両方が暗号化している必要があるため、この機能の追加により、Gmailを使っている人が相手のメールが暗号化されていない(盗み見られる危険性を持っている)ことを簡単に確認できるようになりました。 暗号化されていないメールアドレスへ送信する際にも警告が表示される [caption id=\"attachment_535\" align=\"alignnone\" width=\"650\"] 出典元:Official Google Blog: Building a safer web, for everyone[/caption] メールでは受信するだけではなく「返信」をしますよね。返信の際に暗号化されたメールに返信するのか、暗号化されていないメールに返信するのかを確認することも必要です。 Gmailではメール受信時だけでなく、メール送信時にも送り先のメールアドレスが暗号化されていない場合に「赤い鍵が外れているマーク」が表示され、警告が表示されるようになりました。 実際にGmailで確認をしてみましたが、暗号化されていないメールには「赤い鍵マーク」が表示されていました。 グローバルでのメール暗号化状況 [caption id=\"attachment_40630\" align=\"aligncenter\" width=\"1145\"] 出典元:Google透明性レポート:送信中のメールの暗号化[/caption] ところで、現状世界におけるメール配信の暗号化はどのくらい進んでいると思いますか? 上記はGoogleが公開したレポートの一部で、メールの送受信によく使われる代表的なドメインです。左はGmailがメールを受信する時に送信元となっているドメインで、右側がGmailを利用して送信する時によく使用されるドメインです。 docomoやsoftbankなどの主要キャリアメールドメインや普段よく活利用しているyahoo.co.jpのドメインの暗号化が軒並み0%だということに驚きです。 そもそもメールが暗号化されていないということは、安全な接続を通じてメールを送信していないことを意味します。悪意ある第三者によってメールが盗み見られたときに、メールの内容がわかって(読めて)しまいます。つまりメールの内容が外部へ流出してしまう可能性があるということです。 メールの暗号化ができていれば、悪意ある第三者が盗み見たとしても、その内容を理解することが難しく、メールの内容が外部へ流出する危険性も低くなります。 企業であっても、個人であっても、メールの内容が第3者に覗き見られてしまう状況は好ましいものではありません。Googleも「暗号化の仕組み – より安全なメール – 透明性レポート – Google」という専用ページを公開して、暗号化の普及を呼びかけています。 ちなみにGmailから送信するメールの多くが暗号化通信に対応しており、Gmailによって自動的に暗号化されています。 メール暗号化の必要性とリスク Benchmark Email USのブログ「Gmail Introduced an Additional Security Feature to Warn Users about Unencrypted Emails」によれば2014年にはGmailと他のプロバイダーを介したメールの40~50%が暗号化されていなかったそうです。 メールマガジンやニュースレターであったとしても、お客様にメールを送るわけですから、そのメールが暗号化されておらず「盗み見されていた!」「ハッキングされていた!」「ウィルスを仕込まれていた!」などとなってしまっては大問題です。 またお客様が企業からのメールに返信をしようとしたときに、送信先のメールアドレスに対する「警告」が表示されたのでは、企業への信頼が揺らいでしまうかもしれません。 メールの暗号化の仕組みと設定方法 メールを暗号化するには、メールホスト名の証明書を利用する「TLS/SSLによる暗号化」とメールアドレスごとの証明書を利用する「PGP、S/MIMEによる暗号化」などがあります。 簡単に説明をすると「TLS/SSLによる暗号化」はWEBサイトを暗号化するのと同じように、メールサーバーで暗号化をする方法です。 Gmail はデフォルトで TLS が使用されますが、適切に暗号化するためには送信者と受信者両方がTLSを使用している必要があります。 保護された接続を通じてのみ送受信を行いたい場合は、TLS を使用することを必須にするドメイン・メールアドレスのリストを作成することで設定が可能です。 参照リンク:メールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須にする 「PGP、S/MIMEによる暗号化」は、事前に入手した受信者の公開鍵をもとに、暗号化した共通鍵と暗号化したメールを電子署名とともに送信する方法です。 GmailでS/MIME による暗号化の設定方法はこちらを、Outlookで設定する場合はこちらを参照してください。 Benchmark Emailで送られるメールは暗号化されている Benchmark Emailを使ってメールマガジンを送信している場合は、暗号化はどうしたらいいのか?と思われる方もいらっしゃるかもしれません。 まずBenchmark Emailは全てTLSによる暗号化がされているので、新たに何かをする必要はありませんのでご安心ください。 [caption id=\"attachment_37880\" align=\"alignnone\" width=\"1140\"] 出典元:Google透明性レポート:送信中のメールの暗号化[/caption] 上記GoogleオフィシャルページでもBenchmark Emailを経由したメール(メルマガ)をGmailで受信した場合、メールが100%暗号化されていることが確認できます。 また他のメール配信サービスをご利用の方は、Google透明性レポート内、「データを探す」というボックスにて送信ドメインを入力し確認いただくか、各運営会社にお問い合わせください。 このようにGoogleがメールの暗号化や認証基準を高めたことで、メールに対するセキュリティーの重要性は今後ますます見直されていくのではないかと思われます。 メールのセキュリティーにはDMARCも重要 メールの暗号化が重要なのと同時に、なりすましを防ぐことも大切です。 DMARCは、メール送受信におけるなりすましメールやフィッシングなどの被害を防ぐためのシステムです。 Gmailは2016年6月より、このDMARCによるメール認証の設定を変更しました。 この変更により、Gmail(〇〇@gmail.com)を送信元アドレス(Fromアドレス)としてメール配信スタンドやGmail以外のサーバーを経由してメールを送る場合、メールが一切届かなくなります。メルマガ配信などでメール配信スタンドを活用している場合、送信元ドメイン(gmail.com)と送信に使われるサーバー情報(配信スタンド)が一致していないことで「なりすましメールの疑い」があるとされ、そういったメールはすべてブロックされてしまいます。この認証チェック技術をDMARCと呼び、すでにYahooやAOLでも実装されています。 (Benchmark EmailではGmail、Yahoo、AOLを送信元アドレスに設定した場合、送信元アドレスとBenchmark Eamilの情報を合わせて記載することで、これらを利用したメール配信も可能にしています。) CRM大手のSalesforceでもSalesforce 送信メールへの影響についてをお知らせしているほか、メール配信スタンドを経由したメール配信にGmailアドレスを活用されている方にはとても重要な問題と言えるでしょう。 しかし裏を返せば、それだけセキュリティーを強化し被害を受けるリスクを軽減することの方が重要だという認識が高まってきていることが伺えます。 関連ブログ:これでばっちり、メールセキュリティー三銃士 ~メールの到達率を上げるSPF、DKIM、DMARC~ 暗号化やなりすましの対策をまだしていないという方はぜひ設定を行っていただき、より一層安全なメール配信を行なっていきましょう。 その他Gmailに関する記事 Gmailのプロモーションタブにメールが入ってしまう!メルマガを見てもらうために知っておくべき6つの情報 Gmailアップデート 新機能と利用状況のまとめ スマホでの読みやすさが改善!Gmailがレスポンシブメールのサポートを開始! メルマガがGmailで迷惑メールに振り分けられないために迷惑メール判定基準を学ぼう(外部ブログ) *本記事は、2016年6月に公開した記事にアップデート情報を追記したものです。


記事を読む
「標的型攻撃メール」「フィッシングメール」だけじゃない!世間を騒がすサイバー攻撃と対処法

「標的型攻撃メール」「フィッシングメール」だけじゃない!世間を騒がすサイバー攻撃と対処法

メールマーケティングノウハウ • 2016.08.29

(この記事は2016年8月の記事を2018年3月に加筆修正を行なったものです。) こんにちは、コンテンツ担当の伏見です。 みなさんはサイバー攻撃と聞いてどんなことを想像しますか?フィッシングやなりすましメールなど、メール1つとっても様々あります。また大企業が被害にあったというニュースを聞くこともしばしばあります。 今回はそんなサイバー攻撃によって情報漏洩やウイルス攻撃を受けてしまうその前に、現代のビジネスパーソンなら知っておくべきメールを使ったサイバー攻撃の手口とその対処法をご紹介します! 近年のメールによるサイバー攻撃は手口が巧妙 そもそも私がこの記事を書こうと思ったきっかけは、JTBが被害を受けたグループ会社に不正アクセスがあり、790万人分もの個人情報が流出した可能性があると発表したというニュースを目にしたからです。「標的型攻撃メール」という、文字どおり特定の相手を対象にしたメールから、内部情報への不正アクセスによる情報流出の可能性があったというものです。 その他のサイバー攻撃について調べてみると、8月に入ってappleを装ったメールを送り、アカウントへ不正アクセスをし、個人情報を奪おうとするメールが出回っていたり、同様に個人情報を奪う目的で人気ゲーム「ドラゴンクエスト」を騙ったスパムメールの報告があったりと、メールによるサイバー攻撃のニュースは思っていた以上に身近に存在しています。 また最近では「一般従業員より、役員の方がサイバー攻撃に騙されやすい」というデータもあります。 仕事でメールを活用することが多い現代のビジネスパーソンにとって、まさに「最も身近に潜む犯罪」と言えるでしょう。 2018/03追記:2018年を迎えた現在も、動画配信サービスNetflixを騙ったメールでフィッシングサイトに誘導する例や、LINEを騙ったフィッシングメールなどの報告もあり、まだまだフィッシングメールを含めたサイバー攻撃について警戒する必要があります。 メールを使ったサイバー攻撃は大きく分けて2種類 では、ここからは実際にメールによるサイバー攻撃にはどんなものがあるのかを見ていきましょう。 メールでのサイバー攻撃は大きく分けて、「標的型攻撃メール」と「フィッシングメール」の二種類が存在します。 1. 特定の相手を狙った「標的型攻撃メール」 こちらは特定の個人や組織をターゲットとしたメールによる手口です。 一般的にメールに添付されたファイルを開いてしまうことで、あらかじめプログラムされていたシステムが動作し、ウイルス感染や機密データを奪われてしまうというものです。 標的型攻撃メールは特定の組織にいる複数の人に同時に送られることが多いそうです。つまり、メールを受信した内の一人でも開封し、添付ファイルを確認してしまうと組織として被害を受けてしまうことになるのです。 今では普段やりとりしているメールと見分けがつかないくらい手口が巧妙になっています。僕なら攻撃を受けたことに気付けるか、正直自信がありません。 2. 無差別犯罪「フィッシングメール」 こちらは特定の相手をターゲットとせず、不特定多数に向けて送られるメールです。よく知られている手口として、金融機関やクレジットカード会社を装い、偽のウェブサイトへアクセスさせるよう仕向けて、情報確認と称して口座番号やカード情報、パスワードなどをそのサイト上で入力させ、個人情報を奪うといったものがあります。 これまではテキストメールを使ったものが多かったのですが、ドラゴンクエストの例の様にHTMLメールが使われるなど、こちらも手口が巧妙化しています。 少しでも、変だな?と思ったら要注意! 実際に犯罪を見分けることは難しいのかもしれませんが、有効的な対策として”セキュリティーソフトを入れておく”、”パスワードをこまめに変更する”などが被害を最小限に抑えられる手法だと言われています。 ですが、メールを開封するというアクションを行うのは受信者であり、最終的にはメールを受信する一人一人の危機管理能力が犯罪抑止に繋がることは事実です。 そこで、どのようなメールを受信してしまった時に注意すべきか、以下をご確認ください。 ■メールの概要 今までにやりとりのない人からのメール 配信元がフリードメイン(@gmailや@yahooなど)のメール 差出人アドレスとメールの署名のアドレスが異なる 住所や電話番号が違うなど署名の内容にまちがいがある ■メールの内容 これまで届いたことのない公的機関からのメール 組織全体への案内メール IDやパスワードといった個人情報の入力を要求するメール 日本語の言い回しが不自然 → 翻訳サービスを使った様な言い回し 日本語では使用されない漢字が使われている 実在する名称を一部に含むURLの記載 → 一見すると実在する組織、団体のページURLに見えても、実は偽サイトであるケースがあります 表示されているURLと実際のリンク先URLが異なる → ハイパーリンクとして添付されているURLが偽サイトである 前述の様なメールにファイルが添付されている ショートカットファイル( lnkなど)が添付されている ファイル拡張子が偽装されている サイバー攻撃の被害を防ぐための5つの注意事項 こういった怪しいメールが届いた時に、「実はサイバー攻撃を受けているのでは?」という確信を得るために以下のようなことにも注意をしましょう。 内容に対して心当たりがない → 当然ですが、身に覚えのないメールを開いてしまうのは禁物です。 個人情報を聞かれていないか → 冷静になって考えてみるとメールで個人情報を聞かれること自体、不自然ですね。 件名に【緊急】【重要】などのキーワードや不必要に興味を引かせる書き方になっていないか → 「早く添付しているファイルを確認しないと!」と思わせる様な過剰に煽ってくるメールは要注意です。 リンク先のページで表示されているブラウザにSSL暗号化マークが表示されているか → 個人情報を入力するページなどはセキュリティーのため、通常SSL暗号化がなされています。ですが、偽サイトの場合、SSL暗号化がされていないケースが多いとのことですので、ちゃんとマークがあるのか確認しましょう。  SSL証明書が正規の企業であるか確認 →4で表示された 鍵マークをクリックすることでSSL証明書を確認することができます。個人情報を入力する前に証明書発行元が正規の企業であるか、こちらで確認しましょう。 また、前にもお伝えしましたが標的型攻撃メールは同時に複数の人に届きます。怪しいメールを受け取ったら社内で共有することが大切です。 他にも以下のサイトでは最新のフィッシングメール報告を確認することができます。 ”フィッシング対策協議委員会 - 緊急情報一覧”で最新情報をチェックしておくことも防犯につながります。 さいごに 今回はメールによるサイバー攻撃の実態と対処法についてご紹介しました。 大事なのは、メールを受け取ったから即開封してファイルを確認するのではなく、少しでも疑いのあるものは注意深く、社内でも情報共有を行うということです。 これさえ覚えておけば100%被害を防げることではないかもしれませんが、被害を最小限に抑えることになると思います。 それでは、伏見でした。   【参考記事】 政府公報オンライン - あなたを狙う「標的型攻撃メール」「フィッシングメール」被害防止には一人一人の情報セキュリティ対策が重要です IPA 独立行政法人 情報処理推進機構 - IPAテクニカルウォッチ「標的型攻撃メールの例と見分け方」 // <![CDATA[ (function(d){ if(typeof(window.NINJA_CO_JP_ONETAG_BUTTON_90818a3f7b8eab24a4f61efc3268c079)=='undefined'){ document.write("\"); }else{ window.NINJA_CO_JP_ONETAG_BUTTON_90818a3f7b8eab24a4f61efc3268c079.ONETAGButton_Load();} })(document); // ]]>


記事を読む