\r\n\r\n
サイバー攻撃の多くは、電子メールが原因です。マルウェア、アドウェア、スパム、フィッシングのアクセスポイントになりやすく、脅威者がお客様の個人情報にアクセスする機会が無制限に増えてしまうのです。
これらの脅威を軽減するためには、個人用とビジネス用の両方の電子メールアカウントに、厳格なセキュリティ対策を施す必要があります。
他の通信手段が普及したとはいえ、電子メールは個人または組織にとって最大のデータ転送形態であることに変わりはありません。メールの内容を保護することは、必要不可欠なことです。
電子メールのセキュリティには、送受信されるすべての電子メールのトラフィックを検査し、暗号化することが必要です。SMTP(Simple Mail Transfer Protocol)接続の安全性を確保することで、暗号化は電子メールコンテンツのプライバシーの完全性を維持するために重要な役割を果たす。
最近まで、暗号化はSMTPのオプション要件に過ぎなかった。
電子メールの暗号化とは、電子メールの内容にパスワードや暗号を付加し、認識できないようにすることです。メールデータをコード化することで、不正なコンテンツの流出を防止することができます。簡単に言うと、あなたのメールは分かりにくいのです。
さらにセキュリティとして、暗号化処理では公開鍵と秘密鍵を用いて暗号鍵を交換し、暗号化されたメールのロックとアンロックを行います。送信者は公開鍵暗号を使用してメールを暗号化し、その後、受信者は秘密鍵を使用して受信したメッセージを復号化する。
電子メールには最初から最後まで暗号化を適用する必要があります。ベストプラクティスとして、機密情報を含むメールだけでなく、すべての送受信メールを暗号化する必要があります。これにより、脅威者がシステムへの侵入口を確保することができなくなります。
1982年にSMTPプロトコルが登場した当時、電子メールの暗号化は一般的ではなく、デフォルトで平文で送受信されていた。トランスポートレベルでのセキュリティを導入するために、1990年代後半にSTARTTLSコマンドが追加され、TLS(Transport Layer Security)プロトコルによる暗号化オプションが提供されるようになった。
TLSのアップグレードは期待できそうですが、2つの完全なセキュリティ脆弱性が残されています。
2019年、ついにGoogleが歩み寄り、新規格「MTA-STS(Mail Transfer Agent / Strict Transport Security)」の採用を発表した(RFC8461)。
これにより、メールサービスプロバイダはSMTP接続を保護するためにTLSを強制することができ、また、信頼できるサーバー証明書を使用してTLSを提供しないMXホストへの電子メールを拒否するオプションも提供します。
MTA-STSは、通信するSMTPサーバー間を強制的に暗号化することで、SMTPが抱えていた問題を最終的にすべて解決している。しかし、実際にはどうなのでしょうか?見てみよう!
MTA-STSは、SMTPサーバーに対して、2つの条件下でのみ別のSMTPサーバーと通信するように指示することで機能する。
DNSとHTTPSを組み合わせてポリシーを公開することで、MTA-STSは暗号化通信路を開始できない場合にどのように処理するかを送信者に通知しています。
受信者側でMTA-STSを実装するのは簡単ですが、送信者側ではProtonMailなどのメールサーバーに対応したソフトウェアを使用する必要があります。
関連:ProtonMail:必要なメールセキュリティと必要な機能
メール通信にMTA-STSを適用した場合、以下のような脅威に正面から遭遇することになります。
中間者攻撃:二者間の通信の途中に攻撃者が介在し、データを盗み出したり変更したりする攻撃です。電子メールの場合、これは通常、2つの通信用SMTPサーバーを意味する。MTA-STSを利用することで、これらの攻撃を容易に防ぐことができます。
劣化攻撃:脅威者は、ネットワークチャネルを安全でないデータ転送モードに強制的に変換させる。例えば、この攻撃は、ウェブサイトの訪問者をHTTPS版からHTTP版にリダイレクトする可能性があります。mta-STSは、不正なアクセスを防止することで、これらの攻撃に対する防御に役立ちます。
DNSスプーフィング攻撃:ユーザーが意図した宛先のDNSレコードを改ざんし、正規のサイトやドメインにアクセスしているように見せかける狡猾な攻撃。MTA-STSの導入は、これらの攻撃を軽減するのに大いに役立ちます。
関連:DNSキャッシュポイズニングとは何ですか?
MTA-STSに慣れてきたところで、TLSレポートと呼ばれる新しいSMTPレポート標準に触れる時が来ました。
MTA-STSと同様に、TLS-RPTは、送信アプリケーション間の接続性の問題や不一致を検出するためのレポート規格です。この機能を有効にすると、メール送信時に外部サーバーで発生した接続性の問題を毎日レポートとして送信します。
潜在的な問題や構成の問題を評価し、分類するためにレポートを使用するトラブルシューティングツールとお考えください。
診断レポート:tlsreportingは、配信上の問題に直面している受信メールに関する包括的な詳細を含むJSONファイル形式の診断レポートを提供します。例えば、ダウングレード攻撃によりバウンスしたメールや配信されなかったメールも検知します。
視認性の向上:TLS-RPTを有効にすることで、すべてのメールチャネルの視認性を向上させることができます。これにより、失敗したメッセージも含めて、送信されるすべてのデータを監視することができます。
デイリーレポート:MTA-STSポリシーの洞察と観測のために、少なくとも1日1回、診断レポートを送信します。これらのレポートには、トラフィックの統計やエラーや失敗した配信の詳細も含まれています。
サイバー脅威の進化に伴い、電子メールを安全かつ確実に送信するためには、厳しいセキュリティ対策や暗号化技術が必要とされています。
様々なメールプロバイダーが提供する強力な暗号化機能とMTA-STS規格のおかげで、完全に安全なメール送信はもはや遠い現実ではありません。