セキュリティトピック

メールの「本物」と「ニセモノ」を⾒分ける電⼦署名(S/MIME)

あなたは、電⼦メールを受け取ったとき、
その内容を無条件に信⽤してはいませんか?

ほとんどの⼈は、受け取ったメールを⾒て、

  • 送信元が知っている会社からだったら問題ない。
  • 有名な⾦融機関から届いたメールだから⼤丈夫。

と、思うはず。ところが、メールという通信⼿段は、いとも簡単に送信元を詐称できしまうものなのです。 このため、悪意のある第三者が、あなたやあなたの勤める企業に「なりすまして」誰かにメールを送ることもできてしまいます。

あなたが受け取ったそのメールは、誰かが「なりすまして」送信してきた「ニセモノ」のメールかもしれません。 ひょっとして、このメールは偽装されているのでは? そんな不安を抱えることなく安⼼してメールを利⽤する技術。 それが電⼦署名(S/MIME)です。

メールの「本物」と「ニセモノ」を⾒分ける電⼦署名(S/MIME)

メールは安全とは限らない!

電⼦メールは現在、⼿軽で便利な通信⼿段として私たちの⽣活になくてはならないものになっています。 しかし、あなたが受け取っているメールは、本当に安全なものなのでしょうか? メールは⼿紙や電話と⽐べて、相⼿を特定することが難しい通信⼿段です。インターネットの特性上、送信元のメールアドレスを簡単に偽ることができてしまいます。このため、知り合いからのメールだと思っていても、実は本当にその⼈が書いたものかどうかを確かめるのは⾮常に困難なのです。 近年では⼤⼿⾦融機関やショッピング会社などになりすましてメールを送信し、ユーザーを偽のウェブサイトに誘導して個⼈情報や⾦銭を騙し取ろうとする「フィッシング詐欺」も多発しており、たとえ送信元のアドレスが知っている⼈や⼤⼿企業からのものでも、信頼できるとは限りません。通信相⼿は本当に正しい相⼿なのか、内容は書き替えられていないのか、調べることが難しいからこそ、誰でも被害に合う可能性があります。

電子署名つきメールが安⼼な理由

S/MIME証明書は、現実の世界ではパスポートや運転免許証、印鑑証明書などの⾝分証明書に相当するもので、信頼できる第三者機関(認証局)が厳しく審査して発⾏されるものです。電⼦証明書は公開鍵暗号技術を用いて作られているため、第三者が「ニセモノ」の電⼦証明書を勝⼿に作って他⼈になりすますことは、事実上不可能です。そのため、インターネットの世界における⾝分証明として、⾮常に⾼い信頼性を発揮できるのです。

メールの電⼦署名(S/MIME)とは

メールの電⼦署名とは、送信するメールに「確かに本⼈からですよ」という証拠になる電⼦署名を付与することで、送信者の⾝元を明らかにするものといえます。電子署名を付与するために必要な電子証明書(S/MIME証明書などと呼ばれます)は、第三者機関(デジサートなどの認証局)によって審査され、認証されないと入手することができません。S/MIMEとは、公開鍵暗号技術を用いて、電⼦署名が付与されたメールの受信者が、送信元が確かに実在すること、内容が書き替えられていないことを確認することを可能にするインターネットの標準規格です。

つまり、メールに電⼦署名が付与されていることによって、それが不正なメールではないことがわかり、安⼼して内容を読むことができるようになります。

メールの電⼦署名(S/MIME)とは

現在活⽤されている電⼦署名つきメール

メールの内容を信頼するために、重要な役割を果たす電⼦署名付きメール。
しかし、⾃分には関係ないと思ってはいませんか?電⼦署名つきメールはすでに様々な場で利⽤され、私たちの安⼼と安全のために活⽤されています。
あなたのもとにも、電⼦署名がついたメールが届いているかもしれません。

⼤⼿銀⾏や⾦融機関では、
電⼦署名つきメールが導⼊されています

通信⼿段としてメールを使う機会のある企業・組織にとって、送信元のなりすましを防ぎ、顧客を詐欺の被害から守ることが重視されています。受信者が安⼼して企業からのメールを受け取ることができるように、確かな対策を講じることがお客様の評価につながるのです。
こうした現状の中、フィッシング詐欺による被害からエンドユーザーを守るために、⼀部の⼤⼿銀⾏や⾦融機関で、デジサートの電⼦署名つきメールが導⼊されています。導⼊企業では、サービスの案内やサポート情報など、企業から送信するメールに電子署名を付与し、⾝元を明らかにして送信しています。これによりメールを受信した顧客は、確かにその企業から送られたものであること、内容が不正に改ざんされていないことを確認することができ、安⼼してメールの内容を信頼することができるようになりました。また、同じ企業からのメールのように⾒えても、電⼦署名がついていないものは送信元を詐称したフィッシングメールの恐れがあり、信⽤すべきではないということをお客様が識別できるようになりました。

⼤⼿銀⾏や⾦融機関では、電⼦署名つきメールが導⼊されています

電⼦署名つきメールを受信したら

ここでは、S/MIME の規格に準拠した電⼦署名つきメールを検証する⽅法を説明します。
メールに電⼦署名を付与するには複数の規格がありますが、その中でも、電⼦証明書を使って電⼦署名を⾏うS/MIME は、インターネットで標準的に使われています。

電⼦署名を検証するのに必要なものは?

S/MIME に準拠した電⼦署名つきメールを検証するのには、S/MIME 対応の電⼦メールソフトが必要です。S/MIME に対応しているメールソフトには、 Microsoft Outlook、Windows Liveメール や Mozilla Thunderbirdなどがあります。まずは、ご利⽤になられている電⼦メールソフトがS/MIME に対応していることをご確認ください。
そのほかに電⼦署名つきメールを検証するのに必要なものや、準備するものは特にありません。
電⼦署名のついたメールを受信した場合に表⽰される画⾯や、電⼦署名を検証する⽅法は、電⼦メールソフトによって異なります。
たとえば、Microsoft Outlook 2010 では、電⼦署名のついたメールを受信すると、次のように表⽰されます。

Microsoft Outlook 2010

ここでは、S/MIME 対応のメールソフトとして、Microsoft Outlook 、Windows Live メール および Mozilla Thunderbirdを使った電⼦署名の検証⽅法を紹介します。

どのメールソフトも、簡単な操作ですぐに電⼦署名を検証することができます。

S/MIME 未対応のメールソフトを使っているとどうなるの?

S/MIME 未対応のメールソフトやウェブメールでも、電⼦署名のついたメールを受信することができます。しかし、電⼦署名を検証することができませんので、そのメールが本当に発信者の送ったものかを確認することはできません。
多くのS/MIME 未対応のメールソフトでは、電⼦署名のついたメールを受信すると、電⼦署名は次のような添付ファイルとして表⽰されます。

電⼦署名つきメールを導⼊する様々なメリット

「フィッシング詐欺」の被害が企業の信頼を揺るがす

実在する企業や組織の名を騙って、顧客の個⼈情報や財産を騙し取ろうとするフィッシング詐欺。この詐欺の被害は、エンドユーザが個⼈情報を奪われるだけではありません。送信元が詐称されたメールが原因で、現実的な被害が発⽣した場合、送信元として詐称された企業側に落ち度がなくても「セキュリティ対策が不⼗分な企業」と認識されてしまいます。

こういった被害から⾃社の信頼や顧客の財産を守るには、どうしたらよいでしょう?それは、顧客が受け取ったメールが⾃社から確かに送信されたものであることが、顧客にもわかるようになっていればよいのです。それが、後述する「電⼦メール署名」なのです。

電⼦署名つきメールがもたらすメリット

電⼦署名つきメールは、企業が送信したメールとフィッシングメールを簡単に⾒分けられるようにすることで、顧客を詐欺の被害から守る技術です。電⼦署名つきメールを導⼊することは、詐欺の被害を事前に防ぐだけではなく、企業の情報セキュリティに対する取り組み姿勢を広く⽰すことにもつながるのです。

また、せっかく送信したメールも、フィッシングメールとの区別が付かないために、顧客に読んでもらえなかったら意味がありません。企業から送信するメールに電⼦署名を付けることによって、受信したメールが確かにその企業からのものだとわかり、顧客は安⼼して内容を読むことができるようになります。

フィッシング対策協議会ではWebサイトを運営する事業者向けの40種類の対策方法の中で、1番目に「利用者に送信するメールには電子署名を付与すること」を取り上げています(*1)ので、併せて参考にしてみてください。

*1 : フィッシング対策協議会 : 2019年度版の「フィッシング対策ガイドライン 2019年版を参照」

電⼦署名のしくみ

メールに電⼦署名を付ける⽅法にはいくつかありますが、中でも電⼦証明書を使う「S/MIME」という規格が代表的です。これは現在インターネットの標準技術として世界中で広く使われているもので、多くのメールソフトがS/MIME に対応しています。
S/MIME で署名されたメールはS/MIME 対応のメールソフトで受信することで、誰が送信してきたのかを簡単に確認することができます。この確認(署名の検証)には「ルート証明書」と呼ばれる証明書が必要です。デジサートのルート証明書は、ほとんどのパソコンにあらかじめインストールされているので、受信者に複雑な作業をしてもらう必要はありません。
次の図は、デジサートが提供する「セキュアメールID」を⽤いて、電⼦署名を⾏う場合を説明したものです。

基本から学ぶSSL

SSL/TLSサーバ証明書とは

オンラインの情報を保護し、Web サイトの信頼性を高める SSL サーバ証明書。「SSLとは?」「なぜSSLが必要なのか」「SSLの種類」「SSLがどのように機能するのか」をわかりやすく説明します。

 

鍵