電子メールソフトは利用者が頻繁に利用するものであるため、各電子メールソフトには様々な機能が実装されています。

ここでは、安全に電子メールを利用するための必要最低限の機能に関して簡単に説明を行います。

受信メール一覧で表示される情報の拡張

電子メールを取り扱うにあたり、受信したメール一覧の表示項目には、最低限以下を表示するべきです。

これらの項目は、自分に届いた電子メールが迷惑メールや攻撃メールであるかどうかを判断する上で、基礎となる情報です。これらの情報を詐称する事も可能ですが、まずはこれらの情報を確認することが電子メールを安全に使用するための第一歩となります。

「受信メール一覧で表示される情報の拡張」に関する各電子メールソフトの設定

Topへ

送信者のアドレス表示

電子メールには本文の他に、「送信者」、「受信者」、「配送経路」等を含む、ヘッダと呼ばれる項目があります。

一般に、電子メールを利用する上で送信者の情報を確認することは重要です。

攻撃を目的とした電子メールでは、送信者情報を詐称することが多いため、送信者を確認したから安全とは言えませんが、攻撃を検知するための一助となることは間違いありません。

また、現在の電子メール規格では、送信者のメールアドレスの他に、「表示名」(display name)と呼ばれる付加情報を追加することができます。 多くの場合、表示名には本名やニックネームなどが使われていますが、表示名は送信者が任意で設定できることが出来るため、送信者を確認する際にこの「表示名」に頼り切ると、送信者の詐称を受けやすくなるという意味で両刃の剣と言えます。

送信者情報が詐称されている可能性を踏まえた上で、確認してください。

「送信者のアドレス表示」に関する各電子メールソフトの設定

Topへ

S/MIME及びPGP対応

電子メールは通常、暗号化や電子署名を行わずにやりとりされています。これは、電子メールを何らかの方法で、不正に受信し、内容を読んだり（盗聴）、書き換えたりする（改竄）することが可能であると言うことを意味し、盗聴による個人情報の窃取や、改ざんによる攻撃などが比較的簡単に行えてしまいます。

IETFでは、このような状況に対応するために、S/MIME(RFC5750, RFC5751)及び、MIMEのPGP対応(RFC2015, RFC3156, RFC4880)に関する規格を制定しています。

S/MIMEはPKIを利用した電子証明書を用いる手法で、公的個人認証基盤(いわゆる住基ネット)等で配られている個人証明書や、様々な証明書発行機関によって発行された個人証明書を利用して電子メールの暗号化や電子署名を行うことができます。

今回調査した電子メールソフトは、Becky!を除き全ての電子メールソフトがインストール直後からS/MIMEを利用できます。また、Becky!も標準で添付されている Plug-In をインストールすることでS/MIMEに対応できます。

一方、PGP対応については、いずれの電子メールソフトでも標準では利用できません。実際には Windows Live Mail 以外の電子メールソフトは、Plug-In を導入することでPGPに対応できますが、本文書では取り扱いません。

本文書では、S/MIME、PGP対応のどちらを採用すべきかに関しては論じませんが、電子メールを通じた被害を減らすためには、電子署名や暗号化を活用することが重要であると考えています。

「S/MIME及びPGP対応」に関する各電子メールソフトの設定

Topへ

迷惑メールフィルタ機能

迷惑メールの増加に伴い、一部の電子メールソフトでは、迷惑メール対策のためのフィルタ機能が組み込まれています。

この迷惑メールフィルタ機能は、受信した電子メールをふるいにかけ、迷惑メールを分離する機能です。

昨今、流通する電子メールの大半が迷惑メールであるとの報告があり、大量の迷惑メールを受信することによる作業効率の低下が問題となっています。迷惑メールフィルタ機能を利用することで、迷惑メールの処理時間の低減が期待出来ます。

なお、迷惑メールフィルタ機能は、迷惑メールを「完全に」分離してくれるわけではなく、迷惑メールと疑わしいと判定された電子メールを分離するものです。 従って、利用の際には、

という状況が発生することを認識した上で使用する必要があります。

「迷惑メールフィルタ機能」に関する各電子メールソフトの設定

Topへ

HTMLメールの取り扱い

商品案内や各種お知らせなどで、商品を美しく見せたり、伝えたいメッセージを強調したりするためにHTMLを利用した電子メール(以降、HTMLメール)が利用されることがあります。HTMLメールを利用すれば、文字のフォントや色あるいは配置の指定や画像の張込み、外部リンクの埋込みなどができます。

このように高い表現能力を備えたHTMLメールなのですが、攻撃者にとっては毒牙を忍び込ませる格好の土俵ともなっています。例えば、HTMLメール上の表示とは異なるリンク先にユーザを誘導する偽装リンクや、攻撃のための事前準備として外部画像のURLにトラッキングIDを埋め込まれたスパムメール（画像が参照されたかどうかでそのメールアドレスが利用されているかどうか判断し、利用されている電子メールアドレスのみ攻撃対象に加えるなど）がその一例です。このような毒牙による危険を避けるため、HTMLメールをテキストで表示させる設定や、外部の画像を取り込まない設定などが電子メールソフトに取り入れられています。

従って、送られてきたHTMLメールはテキストで表示させたり、外部画像は取り込まない設定にした上で信頼のおける差出人のHTMLメールのみ外部画像を取り込むなどの対策を推奨いたします。

今回の調査対象電子メールソフトでは、Microsoft Outlook Expressおよび、Apple Mail.appを除いて、HTMLメールの自動表示機能を無効にすることができます。

「HTMLメールの取り扱い」に関する各電子メールソフトの設定

Topへ

送信メールの形式

現在、様々な形式で電子メールを送付することが可能となっています。(例として、HTML、リッチテキスト等)

しかし、HTMLメールの取り扱いで説明したとおり、この種の拡張されたメール形式は、場合によって攻撃に利用されることがあります。 従って、受信者によってはこの種の電子メールに対し「受け取らない」・「読まずに捨てる」という扱いをする可能性があります。

ですから、特別なことがない限り、HTMLメールやリッチテキストメールは送らないことが望ましいと言えます。

「送信メールの形式」に関する各電子メールソフトの設定

Topへ

開封確認機能

もともとの電子メールの規格では、電子メールを送信した後、受信者が配送された電子メールを読んだことを確認する術がありませんでした。 しかし、電子メールがビジネスなどでも利用されるようになり、受信者が電子メールを開封した事を確認したいという要望が増えたため、受信者が電子メールを開封したことを通知する開封確認機能が追加されました。

しかし、この開封確認機能は、「メールを読んだ（開封した）」という情報だけでなく、どこで読んだかなどの情報が漏洩してしまう可能性があり、セキュリティ的にはリスクを伴う物でもあります。

以上の理由により、どうしても必要な人を除いて、この機能は利用しないことが（現時点では）望ましいと考えられます。

「開封確認機能」に関する各電子メールソフトの設定

Topへ