連載
» 2005年12月13日 00時00分 公開

セキュリティプロトコルマスター(3):読み出しを暗号化しないpop3やapopメールは危険か? (2/3)

[福永勇二,インタラクティブリサーチ]

pop3はどうしても危険なのか?

PCからメールサーバまで、pop3でも安全なケースも

 pop3は絶対に危険なのでしょうか? 必ずしもそうとはいえません。図3を見てください。いま左端のPCがメールを読もうとしています。このときアクセスするサーバ、つまりメールボックスのあるサーバが、PCを接続しているプロバイダで提供しているサーバS1だとしましょう。

図3 メールサーバとのネットワーク上の位置関係がポイント 図3 メールサーバとのネットワーク上の位置関係がポイント

 このとき、PCからメールサーバまでの間は、すべて利用プロバイダのネットワークです。このような場合、「pop3でも安全」にメールを読み出せる可能性が高いと考えられます。なぜなら、ネットワークそのものがプロバイダの管理下にあり、通常であれば、関係者以外はネットワークに触れることが難しいと考えられるからです。もちろん、関係者が盗聴する可能性はゼロではありませんが、普通はプロバイダの内部規則などが抑止力となって、そういうことは起きにくいはずです。

pop3が安全じゃないのはどんなとき?

目次

pop3s、apop、pop3を比較する

1 メールを安全に読み出すために

ネットワークに生パスワードを送らずにすむapop

2 apopのハッシュってなんですか?

3 apopのどこに一方向ハッシュ関数?

pop3はどうしても危険なのか?

4 PCからメールサーバまで、pop3でも安全なケースも

5 pop3が安全じゃないのはどんなとき?

6 メール配送中は安全なんですか?

メールの読み出し暗号化の意義は?

7 たとえpop3sで読み出しだけ暗号化しても無意味では?


 これについては、接続プロバイダ以外が設置したメールサーバにアクセスすることを考えてみましょう。図3でいうと左端のPCがS2のメールを読む場合です。

 このケースでは、PCからS2にたどり着くには、いくつかのプロバイダを経由します。しかしPCには、どのプロバイダを経由するのかも分かりませんし、そのプロバイダがちゃんと管理をしているのかも分かりません。分かっているのは「危険かもしれない道を通る」ということです。

 こういった場合には「pop3では安全とはいえない」と考えるのが妥当です。apopやpop3sを使うことを検討するべきでしょう。

 なお、このようなケースは、プロバイダの引っ越しなどでも起こります。プロバイダAを退会して、プロバイダBに加入したけど、メールアドレスが変わると困るので、引き続きプロバイダAのメールアドレスを使っているような場合です。その場合、S2がプロバイダAのメールサーバということになります。見落としがちですが、メールを安全に使うためには、覚えておきたいポイントです。

メール配送中は安全なんですか?

 図4の真ん中あたりにあるsmtpサーバ間でのメール配送は、普通暗号化せずに行っています。

図4 メールを送り届ける仕組み 図4 メールを送り届ける仕組み

 また、送る側のsmtpサーバにとって、配送のためにどこを通るのか、そこがしっかり管理されているかは、pop3の場合と同様に分かりません。そのため、smtpサーバ間でのメール配送は「安全ではない」と考えるべきです。

 つまり、pop3sで安全にメールの読み出しができるとしても、そのメールボックスに届くまでは安全ではない可能性がある、ということです。「クレジットカード番号など大切な情報をメールで送らない」という常識は、たとえpop3sを使うようになっても、やはり守るべき大切なポイントです。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。