フィッシング対策協議会(東京都千代田区、会長:岡村 久道)の証明書普及促進 WG (主査:田上 利博)は、一般財団法人日本情報経済社会推進協会(東京都港区、会長:杉山 秀二 以下、JIPDEC )、S/MIME 推進協議会(東京都杉並区、会長:佐々木 良一)と協力して、主要な電子メールソフト・サービス(以下、メーラー)の S/MIME ※1 (エスマイム)対応状況を調査し、結果を公表します。
S/MIME は本人から送信されたメールであることや改ざんがされていないことを確認することができます。多くの企業・団体において、メールでファイルを送信する際の「ZIP 暗号化( PPAP ※2 )」が慣例化されていましたが、メールの盗聴リスクや ZIP 暗号ファイルへのマルウェア混在などセキュリティリスクが指摘され続けていました。2020 年 11 月に政府機関が PPAP を廃止する方針の発表をきっかけに民間企業においても廃止の方針を表明するなど、脱 PPAP が定着しています。S/MIME は暗号化してメール送信ができるため、PPAP の代替策としても注目されています。
また、JIPDEC/ITR が実施した「企業 IT 利活用動向調査 2025 」では、S/MIME (メールへの電子署名)を現在実施している企業は「34.2 %」、今後実施したいと回答した企業は「33.2 %」となっています。S/MIME (メールの暗号化)を現在実施している企業は 36.0 %、今後実施したいと回答した企業は 31.4 %となっています。
図 1. 電子メールのセキュリティ対策として実施している項目
出典:JIPDEC/ITR 「企業 IT 利活用動向調査 2025」より
調査概要と結果
2024 年 12 月から 2025 年 2 月にかけて、5つの主要なメーラーで OS ごと( Windows10 、iOS 、Android )の計 13 種類の S/MIME 対応状況について、図 2 のとおり調査を行いました。なお、今回の調査から「Outlook (アプリ・新しい)」を追加しています。
S/MIME 電子署名メールを受信して なりすましと区別することができるメーラーは 10 種類で、Outlook や Gmail など国際的に普及したメーラーが対応しています。
S/MIME 電子署名メールを送信できるメーラーは、Outlook ( Web ブラウザー、PC アプリ、iOS 、Android )と Thunderbird 、iPhone 標準アプリのメールの 7 種類でした。また、S/MIME 暗号化メールの送信も受信も、同様の 7 種類のメーラーが対応していました。
図 2. メーラーの S/MIME 対応状況調査結果
S/MIME の表示例
有効な S/MIME メールを受け取ると、図 3 のように表示されることを確認しました。
図 3. S/MIME の表示例
また、図 4 のように、S/MIME メールは S/MIME 対応メーラーではマークが出ますが、非対応メーラーではマークは表示されず、添付ファイルが付くことを確認しました。
図 4. S/MIME の対応の有無による表示の違い例
メーラーに求められる S/MIME 対応
最近では、フィッシング対策協議会が公表した緊急情報である図 5 のように、三井住友銀行とは無関係の電子証明書を添付して S/MIME に偽装したメールが確認されています。
これは、S/MIME に対応していないメーラーを逆手に取った攻撃です。正規の S/MIME 電子署名メールから電子証明書情報を抜き出し、攻撃メールに添付していました。
S/MIME に対応しているメーラーで本偽装メールを受信した場合、S/MIME.p7s が添付されているだけで図 4 にあるリボンマークなどの電子署名の有効なマークが表示されません。一方、S/MIME に対応していないメーラーで S/MIME 電子署名メールを受信した場合、その電子署名が有効であるか無効であるかに限らず、受信メーラー側で電子署名情報を添付ファイル( smime.p7s )として表示します。
そのため、S/MIME に対応していないメーラーを利用しているユーザーが、S/MIME のメーラーの挙動を認知していると、S/MIME 電子署名がされたメールだと誤解する可能性があります。
S/MIME に対応していないメーラー上では、本偽装メールと正規の S/MIME 電子署名メールの区別がつきません。そのようなメールを見ても受信者が偽装と区別ができるよう、各メーラーは S/MIME に対応することが求められます。
図 5. S/MIME に対応していないメーラーを狙った攻撃
出典:フィッシング対策協議会 緊急情報 「S/MIME 電子署名ファイルが添付されたフィッシング (2023/12/15)」より
本調査は、今後も時勢に沿って調査対象を見直しつつ継続し、適宜結果を公表していく予定です。フィッシング対策協議会、JIPDEC、S/MIME 推進協議会は、今後もインターネット上のなりすまし対策の普及啓発を行ってまいります。
※1 S/MIME とは:
電子証明書を用いた電子メールのなりすまし対策技術の一つ。送信メールに電子署名をすることで、受信者側はその本人から送信されていることが確認でき、また改ざんを検知することができます。送信内容を秘匿する暗号化をすることもできます。
※2 PPAP とは:
暗号化された ZIP ファイルをメールで送り、同じ経路で解凍パスワードを送る手法が PPAP (ピーピーエーピー)と呼ばれています。
フィッシング対策協議会について
組織名:フィッシング対策協議会
事務局:一般社団法人 JPCERT コーディネーションセンター
所在地: 〒103-0023 東京都中央区日本橋本町 4-4-2 東山ビルディング 8 階
URL: https://member.antiphishing.jp/
設立: 2005 年 4 月 28 日
会長: 岡村 久道
概要:
フィッシング対策協議会は、2005 年に発足し会員である民間企業、団体相互の共助を主軸に、官民・海外関係機関との連携を図りつつ、深刻化・悪質化するフィッシング詐欺への対処を行ってまいりました。そして社会インフラとして欠かせないさまざまなオンラインサービスを、消費者が安全に利用できる健全な情報化社会の実現を目指して活動を行っております。
■ 本プレスリリースについてのお問い合わせ先
JIPDEC について
組織名: 一般財団法人日本情報経済社会推進協会(法人番号: 1010405009403 )
所在地: 東京都港区六本木一丁目 9 番 9 号 六本木ファーストビル内
URL: https://www.jipdec.or.jp/
設立: 1967 年 12 月 20 日
会長: 杉山 秀二
概要:
JIPDEC は、1967 年よりわが国の情報化推進の一翼を担い、技術的・制度的課題の解決に向けたさまざまな活動を展開しています。特に、安心安全な情報利活用環境の構築を図るため、プライバシーマーク制度の運営や、メールのなりすまし対策や電子証明書を発行する認証局等の信頼性を評価するトラストサービス評価事業等、個人情報の取扱いやプライバシーガバナンス等、情報の保護と活用に関する調査研究・政策提言等を行っています。
■ 本プレスリリースについてのお問い合わせ先
一般財団法人日本情報経済社会推進協会( JIPDEC )
広報室
お問い合わせフォーム https://www.jipdec.or.jp/jipdec_inquiry.html
S/MIME 推進協議会について
組織名:S/MIME 推進協議会
事務局:一般社団法人 JPCERT コーディネーションセンター
所在地:〒167-0032 東京都杉並区天沼 1-31-11
URL: https://www.s-mime.jp/
会長: 佐々木 良一
概要:
S/MIME 推進協議会は、S/MIME の普及に向けて、S/MIME の利用方法に関する説明、ユースケースの紹介、ソリューションの紹介などのさまざまな情報発信を行っております。