フィッシング対策協議会（東京都千代田区、会長：岡村　久道）の証明書普及促進 WG（主査：田上　利博）は、一般財団法人日本情報経済社会推進協会（東京都港区、会長：杉山　秀二／以下、JIPDEC ）と協力して、主要な電子メールソフト・サービス（以下、「メーラー」）の S/MIME※1（エスマイム）対応状況を調査し、結果を公表しました。

S/MIME は本人から来たメールであること、改ざんがされていないことを確認できます。また、暗号化して送信が可能なため、昨年から政府も利用を停止している PPAP※2 の代替としても注目されており、2021 年 2 月 25 日に開催された JPAAWG 主催の「パスワード付き zip 添付メール問題を考える」のアンケート集計結果において、「興味のある添付ファイルやメールの暗号化方式技術」として S/MIME が最多票となっています。（https://www.jpaawg.org/docs/event/2021ppap/）

2021 年 5 月から 7 月にかけて、５つの主要なメーラーで OS ごと（ Windows10、iOS、Android ）の計 12 種類の S/MIME 対応状況について調査を行いました。
S/MIME 電子署名メールを受信してなりすましと区別することができるメーラーは９種類で、Outlook や Gmail など国際的に普及したメーラーが対応していました。
S/MIME 電子署名メールを送信できるメーラーは、Outlook（ Webブラウザ、PCアプリ、iOS、Android ）と Thunderbird、iPhone 標準アプリのメールの６種類でした。また、S/MIME 暗号化メールの送信も受信も、同様の６種類のメーラーが対応していました。

有効な S/MIME メールを受け取ると、図 1 のように表示されます。

また、図2のように、S/MIME メールは S/MIME 対応メーラーではマークが出ますが、非対応メーラーでは添付ファイルが付いているように見えるだけです。無害化ソフトの中には、この添付ファイルを有害扱いして、無害化するケースもあるようです。

最近では、図3のように、Amazon とは無関係の電子証明書を添付して S/MIME に偽装したメールが確認されています。
これは、S/MIME に対応していないメーラーを逆手に取った攻撃のようです。銀行から送信された正規の S/MIME 電子署名メールから銀行の電子証明書情報を抜き出し、攻撃メールに添付していました。
S/MIME に対応しているメーラーで本メールを受信しても s/mime.p7s が添付されているだけで図 2 にあるリボンマークなどの有効なマークが表示されませんが、S/MIME に対応していないメーラーで S/MIME 電子署名メールを受信すると、有効無効にかかわらず、受信メーラー側で電子署名情報を添付ファイル（ smime.p7s ）として自動変換して表示しマークが表示されません。
よって、S/MIME に対応していないメーラーを利用している方が、S/MIME のメーラーの挙動を認知していると、S/MIME 電子署名がされたメールだと誤解する可能性があります。
S/MIME に対応していないメーラー上では、偽装されたメールと正規の S/MIME 電子署名メールの区別がつきません。そのようなメールを見ても受信者が偽装と区別ができるよう、各メーラーは S/MIME に対応することが求められます。

本調査は、今後も時勢に沿って調査対象を見直しつつ継続し、適宜結果を公表していく予定です。
フィッシング対策協議会と JIPDEC は、今後もインターネット上のなりすましにおいて、対策の普及啓発を行ってまいります。

※1　S/MIME
電子証明書を用いた電子メールのなりすまし対策技術のひとつ。送信メールに電子署名をすることで、受信者側はその本人から送信されていることが確認でき、また改ざんを検知することができる。送信内容を秘匿する暗号化をすることもできる。
※2　PPAP
暗号化された ZIP ファイルをメールで送り、同じ経路で解凍パスワードを送る手法が PPAP と呼ばれています。