一般財団法人日本情報経済社会推進協会(法人番号:1010405009403)
フィッシング対策協議会
S/MIMEのメーラー別対応状況の調査結果を公表
一般財団法人日本情報経済社会推進協会(東京都港区、会長:杉山 秀二/以下、JIPDEC)は、フィッシング対策協議会(東京都千代田区、会長:岡村 久道)の証明書普及促進WG(主査:田上 利博)と協力して、主要な電子メールソフト・サービス(以下、「メーラー」)のS/MIME※1(エスマイム)対応状況を調査し、結果を公表しました。
S/MIMEは本人から来たメールであること、改ざんがされていないことを確認できます。また、暗号化して送信が可能なため、昨年から政府も利用を停止しているPPAP※2の代替としても注目されており、2021年2月25日に開催されたJPAAWG主催の「パスワード付きzip添付メール問題を考える」のアンケート集計結果において、「興味のある添付ファイルやメールの暗号化方式技術」としてS/MIMEが最多票となっています。 (https://www.jpaawg.org/docs/event/2021ppap/)
2021年5月から7月にかけて、5つの主要なメーラーでOSごと(Windows10、iOS、Android)の計12種類のS/MIME対応状況について調査を行いました。
S/MIME電子署名メールを受信してなりすましと区別することができるメーラーは9種類で、OutlookやGmailなど国際的に普及したメーラーが対応していました。
S/MIME電子署名メールを送信できるメーラーは、Outlook(Webブラウザ、PCアプリ、iOS、Android)とThunderbird、iPhone標準アプリのメールの6種類でした。また、S/MIME暗号化メールの送信も受信も、同様の6種類のメーラーが対応していました。
【画像:https://kyodonewsprwire.jp/img/202109270677-O3-M1e0deaV】
表1. メーラーのS/MIME対応状況調査結果
有効なS/MIMEメールを受け取ると、図1のように表示されます。
【画像:https://kyodonewsprwire.jp/img/202109270677-O1-70lXcSx5】
また、図2のように、S/MIMEメールはS/MIME対応メーラーではマークが出ますが、非対応メーラーでは添付ファイルが付いているように見えるだけです。無害化ソフトの中には、この添付ファイルを有害扱いして、無害化するケースもあるようです。
【画像:https://kyodonewsprwire.jp/img/202109270677-O2-qff3lHVb】
最近では、図3のように、Amazonとは無関係の電子証明書を添付してS/MIMEに偽装したメールが確認されています。
これは、S/MIMEに対応していないメーラーを逆手に取った攻撃のようです。銀行から送信された正規のS/MIME電子署名メールから銀行の電子証明書情報を抜き出し、攻撃メールに添付していました。
S/MIMEに対応しているメーラーで本メールを受信してもs/mime.p7sが添付されているだけで図2にあるリボンマークなどの有効なマークが表示されませんが、S/MIMEに対応していないメーラーでS/MIME電子署名メールを受信すると、有効無効にかかわらず、受信メーラー側で電子署名情報を添付ファイル(smime.p7s)として自動変換して表示しマークが表示されません。
よって、S/MIMEに対応していないメーラーを利用している方が、S/MIMEのメーラーの挙動を認知していると、S/MIME電子署名がされたメールだと誤解する可能性があります。
S/MIMEに対応していないメーラー上では、偽装されたメールと正規のS/MIME電子署名メールの区別がつきません。そのようなメールを見ても受信者が偽装と区別ができるよう、各メーラーはS/MIMEに対応することが求められます。
【画像:https://kyodonewsprwire.jp/img/202109270677-O4-k0eVZ7o9】
図3. S/MIMEに対応していないメーラーを狙った攻撃
本調査は、今後も時勢に沿って調査対象を見直しつつ継続し、適宜結果を公表していく予定です。
JIPDECとフィッシング対策協議会は、今後もインターネット上のなりすましにおいて、対策の普及啓発を行ってまいります。
※1 S/MIME
電子証明書を用いた電子メールのなりすまし対策技術のひとつ。送信メールに電子署名をすることで、受信者側はその本人から送信されていることが確認でき、また改ざんを検知することができる。送信内容を秘匿する暗号化をすることもできる。
※2 PPAP
暗号化されたZIPファイルをメールで送り、同じ経路で解凍パスワードを送る手法がPPAPと呼ばれています。
【JIPDECについて】
会社名: 一般財団法人日本情報経済社会推進協会(法人番号: 1010405009403)
所在地: 東京都港区六本木一丁目9番9号 六本木ファーストビル内
URL: https://www.jipdec.or.jp/
設立:1967年12月20日
会長:杉山 秀二
概要:
JIPDECは、1967年よりわが国の情報化推進の一翼を担い、技術的・制度的課題の解決に向けたさまざまな活動を展開しています。特に、安心安全な情報利活用環境の構築を図るため、プライバシーマーク制度の運営や、メールのなりすまし対策や電子証明書を発行する認証局等の信頼性を評価するトラストサービス評価事業等、個人情報の取扱いやプライバシーガバナンス等、情報の保護と活用に関する調査研究・政策提言等を行っています。
【フィッシング対策協議会について】
会社名:フィッシング対策協議会
事務局:一般社団法人 JPCERTコーディネーションセンター
所在地:〒103-0023 東京都中央区日本橋本町4-4-2 東山ビルディング8階
URL: https://member.antiphishing.jp/
設立: 2005年4月28日
会長: 岡村 久道
概要:
フィッシング対策協議会は、2005年に発足し会員である民間企業、団体相互の共助を主軸に、官民・海外関係機関との連携を図りつつ、深刻化・悪質化するフィッシング詐欺への対処を行ってまいりました。そして社会インフラとして欠かせない様々なオンラインサービスを、消費者が安全に利用できる健全な情報化社会の実現を目指して活動を行っております。
■S/MIMEについてのお問い合わせ
担当 佐藤
お問い合わせフォーム https://www.jipdec.or.jp/itc_inquiry.html
