~ フィッシングとは実在する組織を騙って、ユーザネーム、パスワード、アカウントID、ATMの暗証番号、クレジットカード番号といった個人情報を詐取する行為です ~

HOME > 報告書類 > 協議会WG報告書 > S/MIMEのメーラー別対応状況の調査結果を公表

協議会WG報告書

S/MIMEのメーラー別対応状況の調査結果を公表

2021年09月28日

フィッシング対策協議会(東京都千代田区、会長:岡村 久道)の証明書普及促進 WG(主査:田上 利博)は、一般財団法人日本情報経済社会推進協会(東京都港区、会長:杉山 秀二/以下、JIPDEC )と協力して、主要な電子メールソフト・サービス(以下、「メーラー」)の S/MIME※1(エスマイム)対応状況を調査し、結果を公表しました。

S/MIME は本人から来たメールであること、改ざんがされていないことを確認できます。また、暗号化して送信が可能なため、昨年から政府も利用を停止している PPAP※2 の代替としても注目されており、2021 年 2 月 25 日に開催された JPAAWG 主催の「パスワード付き zip 添付メール問題を考える」のアンケート集計結果において、「興味のある添付ファイルやメールの暗号化方式技術」として S/MIME が最多票となっています。(https://www.jpaawg.org/docs/event/2021ppap/

2021 年 5 月から 7 月にかけて、5つの主要なメーラーで OS ごと( Windows10、iOS、Android )の計 12 種類の S/MIME 対応状況について調査を行いました。
S/MIME 電子署名メールを受信してなりすましと区別することができるメーラーは9種類で、Outlook や Gmail など国際的に普及したメーラーが対応していました。
S/MIME 電子署名メールを送信できるメーラーは、Outlook( Webブラウザ、PCアプリ、iOS、Android )と Thunderbird、iPhone 標準アプリのメールの6種類でした。また、S/MIME 暗号化メールの送信も受信も、同様の6種類のメーラーが対応していました。

メーラーのS/MIME対応状況調査結果

表1. メーラーの S/MIME 対応状況調査結果

有効な S/MIME メールを受け取ると、図 1 のように表示されます。

図1. S/MIME の表示例

また、図2のように、S/MIME メールは S/MIME 対応メーラーではマークが出ますが、非対応メーラーでは添付ファイルが付いているように見えるだけです。無害化ソフトの中には、この添付ファイルを有害扱いして、無害化するケースもあるようです。

図2. S/MIME の対応の有無による表示の違い例

最近では、図3のように、Amazon とは無関係の電子証明書を添付して S/MIME に偽装したメールが確認されています。
これは、S/MIME に対応していないメーラーを逆手に取った攻撃のようです。銀行から送信された正規の S/MIME 電子署名メールから銀行の電子証明書情報を抜き出し、攻撃メールに添付していました。
S/MIME に対応しているメーラーで本メールを受信しても s/mime.p7s が添付されているだけで図 2 にあるリボンマークなどの有効なマークが表示されませんが、S/MIME に対応していないメーラーで S/MIME 電子署名メールを受信すると、有効無効にかかわらず、受信メーラー側で電子署名情報を添付ファイル( smime.p7s )として自動変換して表示しマークが表示されません。
よって、S/MIME に対応していないメーラーを利用している方が、S/MIME のメーラーの挙動を認知していると、S/MIME 電子署名がされたメールだと誤解する可能性があります。
S/MIME に対応していないメーラー上では、偽装されたメールと正規の S/MIME 電子署名メールの区別がつきません。そのようなメールを見ても受信者が偽装と区別ができるよう、各メーラーは S/MIME に対応することが求められます。

図3. S/MIME に対応していないメーラーを狙った攻撃

本調査は、今後も時勢に沿って調査対象を見直しつつ継続し、適宜結果を公表していく予定です。
フィッシング対策協議会と JIPDEC は、今後もインターネット上のなりすましにおいて、対策の普及啓発を行ってまいります。

※1 S/MIME
電子証明書を用いた電子メールのなりすまし対策技術のひとつ。送信メールに電子署名をすることで、受信者側はその本人から送信されていることが確認でき、また改ざんを検知することができる。送信内容を秘匿する暗号化をすることもできる。
※2 PPAP
暗号化された ZIP ファイルをメールで送り、同じ経路で解凍パスワードを送る手法が PPAP と呼ばれています。

【フィッシング対策協議会について】

組織名:フィッシング対策協議会
事務局:一般社団法人 JPCERT コーディネーションセンター
所在地: 〒103-0023 東京都中央区日本橋本町4-4-2 東山ビルディング 8 階
URL: https://member.antiphishing.jp/
設立: 2005 年 4 月 28 日
会長: 岡村 久道

概要:
フィッシング対策協議会は、2005 年に発足し会員である民間企業、団体相互の共助を主軸に、官民・海外関係機関との連携を図りつつ、深刻化・悪質化するフィッシング詐欺への対処を行ってまいりました。そして社会インフラとして欠かせない様々なオンラインサービスを、消費者が安全に利用できる健全な情報化社会の実現を目指して活動を行っております。

■本プレスリリースについてのお問い合わせ先
フィッシング対策協議会 事務局
E-mail:info@antiphishing.jp

【 JIPDEC について】

組織名: 一般財団法人日本情報経済社会推進協会(法人番号: 1010405009403 )
所在地: 東京都港区六本木一丁目 9 番 9 号 六本木ファーストビル内
URL: https://www.jipdec.or.jp/
設立: 1967 年 12 月 20 日
会長: 杉山 秀二

概要:
JIPDEC は、1967 年よりわが国の情報化推進の一翼を担い、技術的・制度的課題の解決に向けたさまざまな活動を展開しています。特に、安心安全な情報利活用環境の構築を図るため、プライバシーマーク制度の運営や、メールのなりすまし対策や電子証明書を発行する認証局等の信頼性を評価するトラストサービス評価事業等、個人情報の取扱いやプライバシーガバナンス等、情報の保護と活用に関する調査研究・政策提言等を行っています。

■本プレスリリースについてのお問い合わせ先
一般財団法人日本情報経済社会推進協会( JIPDEC )
広報室
TEL:03-5860-7555
お問い合わせフォーム https://www.jipdec.or.jp/jipdec_inquiry.html

■ S/MIME についてのお問い合わせ
担当 佐藤
お問い合わせフォーム https://www.jipdec.or.jp/itc_inquiry.html