メールの暗号化、署名

米国時間の8月29日、オープンソースのメーラー「Thunderbird」の最新版78.2.1が公開された。本バージョンでは、OpenPGPがデフォルトで有効化されたことが特徴だ。

「OpenPGP」がデフォルトで有効化された「Thunderbird 78.2.1」がリリース
「GnuPG」や「Enigmail」アドオンを導入しなくてもデジタル署名と暗号化メールが扱える

https://forest.watch.impress.co.jp/docs/news/1273939.html

そこで、今回はメールの暗号化・署名をテーマとする。

メールにおけるリスク

メールのやり取りにおいて、盗聴、なりすまし、改竄というリスクが存在する。

(盗聴)
メールは、いくつものメールサーバを経由して、相手に届く。相手に届くまでの通信経路上での盗聴により、情報が盗まれるリスクがある。

この対策のために、ファイルを暗号化して、メールで送るという方法がよく行われる。この場合、暗号化したファイルのパスワードも同じメールか、別のメールで知らせることが多いだろう。しかし、それでは暗号化した意味がないと考えている。なぜなら、ファイルの送信もパスワードの通知も、同じメールという手段を利用しており、通信経路上で盗聴されていると、1通目を見ることができているならば、2通目も見ることができるのではないか、と考えることができるからである。

IPAが発行している「中小企業の情報セキュリティ対策ガイドライン第3版」の付録3「5分でできる!情報セキュリティ自社診断」においては、「パスワードはその電子メールには書き込まず、電子メール以外の手段で通知することが必要」とされている。

SSLを用いたとしても、通信が暗号化されるのは、自分が使用しているメールサーバまでであり、そこから先の通信の暗号化は保証されていないため、盗聴を防ぐことにはならない。

盗聴対策としては、送信者の端末から受信者の端末までの通信経路上全てでメッセージが暗号化された状態で通信される手段が求められる。

(なりすまし)
送信者を別の人のものに偽装することができるので、それでなりすまして、情報を聞き出したり、勝手にメッセージを伝えるなどの不正行為が考えられる。

なりすまし対策としては、送信者が自身の端末から送信されたことを確認できる手段が求められる。

(改竄)
通信経路上で、メッセージに手が加えられ、不正なリンクを加えられるなどの不正行為が考えられる。

改竄対策としては、送信者が送信されたメッセージそのものであることを確認する手段が求められる。

対策

対策として、メール自体を暗号化したり、署名データを付けて送るという方法がある。そのための技術として、S/MIMEとOpenPGPがある。

暗号化と署名のそれぞれの仕組みは以下の通りである。

(暗号化)
送信者は、受信者の公開鍵を使用してメールを暗号化して送信する。受信者は、自分の秘密鍵を使用してメールを復号して読むことができる。メールを復号できるのは、送信者と受信者の端末のみであり、途中のメールサーバなどでは復号することはできない。

(署名)
送信者が自らの秘密鍵を使って、メッセージから署名データを作成して送信する。受信者は、送信者の公開鍵を使用して署名データを復号し、受け取ったメッセージと同一であることを以って、送信者自身の端末から送信されたメッセージそのものであることを確認することができる。

S/MIMEは、個人証明書をあらかじめ入手しておく必要がある。有料のところが多く、無料で入手できるところはあまりない。Let’s Encryptは無料でSSL証明書を発行しているが、S/MIMEには非対応である。無料でS/MIMEの証明書を入手できるところは、イタリアの認証局「Actalis S.p.A.」があるが、他にもあるかは把握していない。

OpenPGPでは、使用する公開鍵や秘密鍵を生成するために証明書を購入する必要はなく、無料で導入できる。ただし、対応するメーラーが限定されている。

メールのやり取りで、情報漏洩対策、なりすまし対策、改竄対策を実施したいならば、S/MIMEやOpenPGPを利用すべきである。

(参考)
中小企業の情報セキュリティ対策ガイドライン第3版
https://www.ipa.go.jp/security/keihatsu/sme/guideline/index.html

iOS/iPadOSにおけるセキュリティ

iOS/iPadOS向けのセキュリティアプリとして、以下がでている。

  • トレンドマイクロ ウイルスバスターモバイル
  • マカフィー モバイルセキュリティ
  • ノートン モバイルセキュリティ

しかし、これらにはウイルス・マルウェアチェック機能は入っていない。
それどころか、iOS/iPadOSにおいては、ウイルスに対して怖がる必要はない。

その理由を以下に説明する。

1. 事前審査のApp Store

iOS/iPadOSのApp Storeに出ているアプリは、すべて事前に審査されて通ったものだ。
App Store Reviewガイドラインの中に以下のように記載されている。

2.5.3 プッシュ通知やGame Centerを含むオペレーティングシステムの通常動作およびハードウェアの機能を損傷または妨害するウイルス、ファイル、コンピュータコード、プログラムを送信するAppは却下されます。

もしアプリにウイルスが見つかれば、審査に通らず、App Storeにも出てこない。

2. サンドボックス

iOS/iPadOSにはサンドボックス構造が採用されていて、サンドボックスの内側の動作が外側に影響を与えないようになっている。
また、サンドボックスの内側で動作しているアプリから外側にあるデータにアクセスすことができない。
このため、ウイルスがアプリの外側に悪影響を及ぼすことはない。また、アプリにウイルスチェック機能を実装することもできない。

以上の理由により、iOSでウイルスに感染することは通常ない。しかし、OSのプロテクトを破るJailbreak(脱獄)をしていれば、感染する可能性はある。Jailbreakを行うと、セキュリティが弱まり、Appが許可していないAppをインストールできるようになるためだ。

これは理由とは異なるが、iOS/iPadOS向けアプリはウイルス・マルウェアチェック機能を実装している、と説明することはできない。それは、ガイドラインに以下のように記載されているからだ。

2.3.1 Appに隠し機能または提示していない機能を含めないでください。ユーザーもApp ReviewチームもAppの機能をはっきりと理解する必要があります。同様に、実際には提供されないコンテンツやサービス(iOSベースのウイルスチェックツールやマルウェアチェックツールなど)がAppに含まれているかのように表示して、App Storeまたはオフラインで販売することは許可されません。

iOSデバイスでウイルス・マルウェアの感染を心配する必要はないし、ウイルス・マルウェアチェックツールを入れる必要もないが、以下の対策は取るべきだろう。

・iOS、アプリを最新版に保つ。
・Jailbreak(脱獄)を行わない。
・PC・Macに接続する場合は、PC・Macも最新版に保ち、セキュリティ対策を行う。
・信頼できないWi-Fiに接続しない。
・不審なアプリ、プロファイルをインストールしない。

【参考リンク】
App Store Reviewガイドライン
https://developer.apple.com/jp/app-store/review/guidelines/

セキュリティソフトの選定

現在利用しているセキュリティソフト、ESET インターネットセキュリティの有効期限が近づいてきた。そこで、今後利用するセキュリティソフトを検討することにした。

セキュリティソフトは無料のものも有料のものもある。無料版には、機能制限だったり、広告付きだったりするので、有料のものを選んでいる。

macOSをメインに、時々Windowsも利用しているため、WindowsにもmacOSにも対応しているという必須条件がある。コストと性能も検討しなければならない。ということで、4個のセキュリティソフトを比較検討した。

ん?トレンドマイクロ?AppleのAppStoreから締め出された件やCoinhive事件のことなどがあり、私にとっては信頼できなくなったので、候補に入れなかった。

  • ESET インターネットセキュリティ
    • 3年5台 ¥9,000 → 早期割引キャンペーンで¥7,182(税込)
    • 1年あたり ¥2,394(税込)
    • 1台1年あたり ¥479(税込)
    • Windows/macOS/Android対応
    • ファイアウォールあり(Windows/macOS)
    • AV-comparatives
      • 実利用環境での保護テスト 1 Star 98.4%ブロック (February – May 2019)
      • マルウェアからの保護テスト 2 Stars (March 2019)
      • パフォーマンステスト 3 Stars (April 2019)
    • AV-TEST (Mac, December 2018)
      • Protection 6
      • Performance 5
      • Usability 6
  • カスペルスキー セキュリティ
    • 3年5台 ¥12,150(税込)
    • 1年あたり ¥4,050(税込)
    • 1台1年あたり ¥810(税込)
    • Windows/macOS/iOS/Android対応
    • ファイアウォールはWindowsのみ
    • AV-comparatives
      • 実利用環境での保護テスト 3 Stars 100%ブロック (February – May 2019)
      • マルウェアからの保護テスト 2 Stars (March 2019)
      • パフォーマンステスト 3 Stars (April 2019)
    • AV-TEST (Mac, June 2019)
      • Protection 6
      • Performance 5.5
      • Usability 6
    • AV-TEST (Win, June 2019)
      • Protection 6
      • Performance 6
      • Usability 6
  • マカフィー インターネットセキュリティ
    • 3年 ¥8,500(税込)
    • 1年あたり ¥2,834(税込)
    • 台数無制限
    • Windows/macOS/iOS/Android対応
    • ファイアウォールあり(Windows/macOS)
    • ID/PASS管理 True Keyアプリ(Windows/macOS/iOS/Android)
    • AV-comparatives
      • 実利用環境での保護テスト 1 Star 99.2%ブロック (February – May 2019)
      • マルウェアからの保護テスト 2 Stars (March 2019)
      • パフォーマンステスト 3 Stars (April 2019)
    • AV-TEST (Win, June 2019)
      • Protection 6
      • Performance 6
      • Usability 6
  • Symantec ノートン セキュリティ プレミアム
    • 3年5台 ¥16,480
    • 1年あたり ¥5,494
    • 1台1年あたり ¥1,099
    • ファイアウォールあり(Windows/macOS)
    • AV-comparatives
      • 実利用環境での保護テスト 2 Stars 99.6%ブロック (February – May 2019)
      • マルウェアからの保護テスト 2 Stars (March 2019)
      • パフォーマンステスト 3 Stars (April 2019)
    • AV-TEST (Mac, June 2019)
      • Protection 6
      • Performance 6
      • Usability 6
    • AV-TEST (Win, June 2019)
      • Protection 6
      • Performance 6
      • Usability 6

ノートンは、性能はいいが、費用が他と比べて高い。
カスペルスキーは、性能が最高だが、ファイアウォールがWindowsのみである。
マカフィーは、検知性能とコストのバランスがよく、また台数無制限で使用できる。しかし、動作が重いという情報も見かけており、その点が不安。
ESETは、検知性能、動作の軽快さ、コストのバランスが良い。

ずっとESETかマカフィーかで迷っていた。台数無制限なマカフィーがいいかな、いや動作の軽快さを考えるとESETかな、というように行ったり来たりだった。

最終的には、動作の軽快さでESETを選び、延長手続きを行った。