人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

普段私たちが使っているメールのセキュリティについての質問です。

ウィキペディアで、メールの通信に使われるプロトコルの1つのPOPに
ついての記述を読んでいたら、POPは認証パスワードなどを平文で送っている
とのこと。その部分を暗号化するAPOPやSASLメカニズムを用いても
メールヘッダや本文は平文のまま送られるとのことでした。

恐らく私の会社は普通にPOPを使っていて、暗号化などは行っていないと
思うのです。ということは私たちが普段仕事上で日常的に使っているメールの内容は
スニッファといわれるツール等においては簡単に盗聴できるものなのでしょうか?

●質問者: SUYAOSTOON
●カテゴリ:インターネット
✍キーワード:APOP POP ウィキペディア セキュリティ パスワード
○ 状態 :終了
└ 回答数 : 10/11件

▽最新の回答へ

1 ● so-asano
●15ポイント

VPN とか使ってれば話は別だと思うけど。

◎質問者からの返答

VPNを良く知らないもので、、、

どういった使い方をすれば、「話は別」なのでしょうか?

も少しヒントを。。。


2 ● b-wind
●15ポイント

ということは私たちが普段仕事上で日常的に使っているメールの内容は

スニッファといわれるツール等においては簡単に盗聴できるものなのでしょうか?

YES.


認証情報等は POP over SSL を使用する等すれば防ぎようがありますが、

いずれにせよ

- 自分の送信サーバー → 送信相手の受信サーバー

- 送信元の送信サーバー → 自分の受信サーバー

間の通信は平文で行われます。

セキュリティ的にはいつでも盗聴可能な状態と思ったほうが無難です。


これを防ぐためには送信前に「メール自体を暗号化」する必要があります。

実現方法としては、 S/MIME, PGP, GPG 等ありますが、いずれも普及しているとは言い難いのが難点です。

◎質問者からの返答

「メール自体を暗号化」する、は必要な気がします。

例えば、上場企業Aの発売前の新製品のカタログなどの制作において、

外部代理店を使ってプロジェクトを進める場合、普通にメールを使ってると思います。

別の上場企業Bが、上に述べたプログラム(スニッファなど)の扱いに長けた人物を雇い、

上場企業Aと代理店間のメールを盗聴させ、その製品内容を知りうることは容易なことなのでしょうか?


3 ● devichan
●15ポイント

スニファでも盗聴できますが、環境によります。

(一般家庭も含め、とくに)会社では、スイッチングHUBを使用していると思います。

昔のリピータHUBの時代であれば、言われるように簡単に盗聴できました。

現在は、スイッチングHUBが主流だと思います。

スイッチングHUBが、なぜスニフィング難しいかというと、

リピータHUBのように全ポートへネットワーク通信を垂れ流しているのではなく、

きちんと流すべきポートにのみデータを流す為です。

リピータHUBの時代は、空きポートへスニィフィング機器を設置すれば、通信内容を見ることができました。

スイッチングHUBでは、その方法は使えません。データのあて先を認識しているからです。

一般に業務用とみられるスイッチングHUBは管理のためにIPアドレスを持つことができ、また、障害対応、ポート監視用にモニターポートと言うものを設定できるようになっています。

このモニターポートを利用して、スニフィングは可能です。

しいて言えばメールサーバ近く等で上記設定を行うと効果的です。

ですが、以上から分かるようにネットワーク(システム)管理者のみが扱える領域です。

(普通の企業では管理者以外が、このような設定はできないようになっていると思います)

その他の家庭などで使っているようなバカスイッチHUBを含め機器にアドレスを持つことができないものは(上記業務用HUBでアドレスを持たせていない場合でも)上記のようなことができないように思われますが、特殊なスニファを使用すれば可能です。(arp置き換えと言う動作にて、スニフィングしています)

※盗聴という話だけだと、これで終わりなのですが、会社という事で少し。

会社にも管理方針があります、一般的には会社で使用するメールは、業務(仕事)として使用しているものであり、

個人のメールではないということです。

ですので、業務以外での使用は普通認めていないと思います。

ですので(会社として)業務で使用しているメールを社内の経営陣(管理者)などが、みて都合が悪いメールはありえないということです。

最近ですと、業務以外で使用していないか管理上チェックしている会社もあるぐらいです。

以上はたてまえ。やはり、スニフィングされるというのは気持ちいいものではありません。

中には、その人のIDとパスワードを知りえた上で、その人に成りすましてメールするやからがいないとは限りません。

でも同じ会社内には、そのような方はいないと信じたいですよね。

◎質問者からの返答

上記は私的にはちょっと難しい話になってしまい、ところどころ判らない部分もあるのですが、

要は今の時代ではそんなに簡単なものじゃないということでしょうか?

質問の趣旨としては、いまうちの会社は発売前の製品のカタログや、ポスターの仕事をしていますが、

主にメールでの業務を進めるにあたり、外部からメールの盗聴やデータの盗難にどれだけの

対策を講じれるかどうかを知りたく、また例えば高いコストをかけてガチガチのセキュリティを

敷く事は可能でしょうが、それはどの程度までの妥当なのか、をこの質問を通して知りたかったのです。


4 ● b-wind
●15ポイント

上場企業Aと代理店間のメールを盗聴させ、その製品内容を知りうることは容易なことなのでしょうか?

「容易」というのをどこに置くかによります。


技術的には容易です。

経路上のサーバーやルーターにのっとりを仕掛けるか、中継 HUB 等に持ち込んだPCをつなぐだけですから。


とはいえ、基本はそれぞれの機器はプロバイダー各社の管轄にあるわけですから、そうそう容易に侵入できるわけではないです。

昔はバケツリレーにたとえられるようにいろいろなサーバーを中継していましたが、現在は各サーバー同士で直接送受信する場合が多いので、無関係の第3者が入っている可能性は低いです。


どちらかというと社内犯行だと上記2点をクリアしやすいでしょうか。

もっとも、社内になるとメール以外にもいくらでも手はあるでしょうけど。

◎質問者からの返答

技術的には容易というのは何となくわかります。

(それはズブのど素人が簡単に出来るという事ではないという意味で)

物理的にpcを持ち込んで、社内のhubに繋いでデータをコピーされるのを

除いて、外部からの侵入もしくは盗聴のような形でデータをコピーされる

ことを防ぐにはどのような対策を講じていればベストなのかと。

このままで良いのかなという不安がありまして。

例えはうちの会社がソネットというプロバイダと契約しメールアカウントを

取得し、それを業務で使っていたとします。

そして何らかの形でメールの内容が外部に漏れた事が判った場合、

その責任は何処に問われるのでしょうか?

また自宅に居るときもメールを見れるようにと、会社のアカウントと同じものを

自宅のメーラーに2つ目のアカウントとして設定し、たとえ会社のpcが休日で

落ちていても自宅で確認出来る様にしています。


5 ● おっちゃんこ
●15ポイント

法律的には、POPでも盗聴は盗聴ですから、盗んだ側に責任がありますが・・・・

会社の対外的な評判として、重要な情報に対するセキュリティの甘さを指摘されるでしょうね。

POPでメールを使うなら、情報の重要度に応じて「メールでのやり取りの禁止」が必須でしょう。

電通が昔、関連会社に配ったセキュリティ冊子には、情報の種類によっては「メール禁止」でしたよ。

まぁ、常識として

顧客情報等、個人情報に関わるものは絶対にメールでのやり取りはご法度でしょう。

2つの媒体(CD?R等)に記録して、片方を信書等で送る。(バイク便は運輸省管轄で信書じゃないのでダメ)

使用後は、媒体の廃棄を確認(返送してもらってシュレッダー)

そんな感じですかね・・・・

◎質問者からの返答

守秘義務が必要な場合に、誓約書を書かされた事はありますが、

日々のやり取りにおいてはそこまで神経質にならなくても良いということなんですかね。。

上でも仰っているように「情報の重要度に応じて」対応すれば良いということなのでしょう。

クライアントが神経質になっている場合は、最後の方で書かれているような対応を

取ると思いますし、そういうときは案外大丈夫というか、気を張ってますし。

そうじゃない日常の作業においてはどういう対応が望ましいのかな、、、と気になったもので。


1-5件表示/10件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ