日本の電子メールセキュリティは数年遅れている

先日、自宅サーバーの電子メールをSPF、DKIM、DMARCに対応した記事を書きました。この3つの技術はメール発信元が本当に正しいことを証明するのが目的ですが、メールセキュリティ全体としてはまだ序の口のようでした。

電子メールのさらに大きな問題として、メールの送信経路でメールを盗み見られるという可能性があります。メールサーバー間はSTARTTLSという技術で可能ならTLSで暗号化して送信します。この「可能ならTLSで暗号化」というのがSTARTTLSの弱点で、ここに悪意のあるサーバーを割り込ませて暗号化せずにメールを盗み見るのです。

STARTTLSで必ずTLSで暗号化を強制する手法として、MTA-STSやDANEといった技術が開発されています。メール受信側が「メールはTLS暗号化してほしい」と宣言するのですが、MTA-STSはWebサーバー、DANEはDNSECを利用して宣言します。特にDANEは信頼性が高いのですが、日本ではほとんど導入されていません。なぜなら、日本のDNSがDNSSECに対応していないことが多いからです。

ほかにも、古いTLSやセキュリティが解読されやすくなったRSAを使い続けているなどの問題もあります。わかりやすい例えでいえば、ピッキングされやすい錠前をいつまでも使い続けているようなものです。

古いメールサーバーと送受信できることを優先している事情はわかります。でも、インターネット上の攻撃は常に最新技術を駆使してきますから、錠前も常に最新のものに更新し続けなければなりません。

日本は電子メールセキュリティでは無防備な状態を世界にさらしている状態です。これからは認証系もDNSSECを土台としていくでしょう。自衛隊の予算も少ないですが、インターネットセキュリティに関しても政府が指導するなり投資するなりして防御力を上げないと、海外から攻撃されまくりで情報という財産を失うばかりなのですけどね…。