saferemail_share_en

グーグルが世界へ向けてメッセージを発している:暗号化されていない電子メールはもはやクールではない、と。

先週火曜日グーグルは、Chromeブラウザ用の暗号化プラグイン「End-to-End」の初期α版のコードをリリースした。これは基本的に、ユーザーがどんなウェブ・ベースの電子メール・プロバイダーを使っていても、お互いに暗号化されたメッセ-ジを送受信できるソフトウェアだ。さらにグーグルは、自身の電子メールの安全性に関するレポート「Safer Email(より安全な電子メール)」で、いくつかの新たな興味深いデータを紹介している。そのレポートによれば、Gmailサービスが受け取った電子メールのおよそ半分が暗号化されておらず、傍受される危険性があるという。さらにそのレポートでは、特に危険性の高い大手電子メール運営会社が名指しで指摘されており、その中にはケーブルテレビ大手のComcastも含まれている。

このレポートで批判を浴びたComcastは、電子メールを不正な傍受から保護する計画を慌てて発表している。同社は今週ブリュッセルで開かれる会議「Messaging, Malware and Mobile Anti-Abuse Working Group」で詳細を発表する。

グーグルの批判とComcastの発表が重なったのは単なる偶然の一致という可能性もあるが、Comcastの暗号化の焦点が主に同社のサーバーとGmail間の通信に当てられていることから、それも考えにくい。恐らく今後、より安全な電子メールの配信に向けた取組みに関する発表が、これに続けとばかり増えるに違いない。

少なくとも、我々はそれを望みたいところだ。

暗号化に従わない業者をグーグルが斬る

ユーザーは、ハッカーやNSAがサーバーに潜り込んでメールを覗き見ることを恐れている。確かにエドワード・スノーデン以後の世界では、スパイ行為や政府の監視に対する安全対策に光が当てられている。だが、これは全体からすればほんの一部でしかない。一方グーグルのレポートでは、様々な危険が存在する広大なインターネットを電子メールが通過する過程におけるセキュリティに焦点が当てられている。

電子メールには、相手の受信トレイに到達するまでの間に傍受されかねないという大きなリスクが存在する。暗号化によってメッセージはスクランブルされ、たとえ部外者がメッセージを傍受したとしても、特定の暗号コードなしにはそれを見ることができないと保証される。従って、部外者から電子メールを保護するためには、送信者と受信者の両方がセキュアな暗号プロトコルを利用しなければならない。

グーグルは2010年から、転送過程でメッセージを保護するための「Transport Security Layer(TLS)」と呼ばれる技術を利用し、デフォルトでGmailの暗号化を行っている。TLSは標準的な暗号化技術だが、問題なのは全ての電子メールサービスがそれを使っているわけではないため、Gmailが安全ではない方法で相手のプロバイダーと電子メールの送受信を行わなければならないケースがあることだ。

Gmailによって送信される電子メールは、およそ69パーセントが送信時に暗号化されている。つまり受信者側が利用している電子メール・サービスも、ある程度暗号化をサポートしているということだ。しかしGmailが受信するメッセージについては状況が異なる。送信時におよそ半分しか暗号化されていないのだ。

今回のレポートでグーグルは「Gmailとの送受信量が上位のドメインにおける、電子メール暗号化のパーセンテージ」を世界に公表した:

encryption-ranking

上記チャートの右側はGmailからメッセージが送信され、それを他の電子メールサービスが受信する場合を示しており、大半が90%かそれ以上が暗号化されているという結果となっている。例外はロシアの電子メール・プロバイダーMail.ruとComcastだった(Me.comはiCloud移行前のアップルのメールサービスで、今このドメインは使われていない)。

全体として、AOL、Hotmail、Yahoo、MSN/Hotmailなどの主要な電子メール・プロバイダーは、暗号化に関する理解度が高いということがわかる。Facebook、Twitter、LinkedInなどのソーシャル・ネットワークも同様だ。しかしながら、残された多くのインターネット・サービス・プロバイダーにはさらなる努力が必要なようだ。

GmailからComcastへ送信されたメールでは、1%未満しか暗号化がされていない。これはVerizonやCoxにも言えることが、AT&Tに関しては多少状況がいいようだ。

encription-fail-via-google

新たに生まれているトレンド

Comcastは、米国におけるケーブルとブローバンド・サービス・プロバイダーの最大手だ。同社はその影響力を拡大させるためにも、できるだけ早くこの消費者向けサービスの向上に努めるべきだが、それはまだ実現できていない。数週間後には電子メールの暗号化を始めるようだが、送信と受信の両方のメールが対象かどうかは明らかではない。ただし片方だけを暗号化しても意味がないため、おそらく全面的な暗号化になるだろう。

他のプロバイダーに関しては、グーグルが公表したセキュリティ欠陥ともいえる事実によって、安全のための暗号化を急いで検討することになるだろう。

米国自由人権協会に在籍するテクノロジスト、クリストファー・ソゴイアンはウォールストリートジャーナルの記事で、「グーグルが暗号化非対応のプロバイダーの名前を明らかにしているので、我々は彼らの恥を世間にさらすことができるし、そうするつもりだ」と書いている。実際にグーグルのレポートが公開された後、すぐに彼は各インターネット・プロバイダーへの聞き取り調査に乗り出している。

しかしここではっきりとさせておくべきなのは、この種の転送時の暗号化は、受信側のプロバイダーがユーザーのメールを読み取ることまでは防げないということだ。何故ならメッセージは、プロバイダーのサーバーが受信すると同時に復号化されるからだ(もちろん、そうでなければ受信相手がそれを読めなくなってしまう)。Gmailは実際、自動的に電子メールを走査し、メッセージ中の特定のキーワードに対して広告を売るビジネスを行っている。しかし、ほとんどのユーザーはずっと前からそれに慣れてしまっている。

そこでやはり興味深いのが、グーグルが今回リリースした新しいChromeブラウザ用のアドオンだ。これは電子メールのセキュリティをさらに向上してくれるだろう。これは政府の要請であってもメールの内容を保護することができ、グーグルによるGmailの広告ビジネスですら排除することができるのだ。

この「End to End」エクステンションは、非常に簡単に利用できるPGP(Pretty Good Privacy)と呼ばれる暗号化の標準規格を採用する。「End to End」は受取人自身がそれを解読するまで、メールが暗号化された状態で維持されることを意味している。つまりこの場合、送信者のブラウザからメールが送信され、それが受取人のブラウザ上で解読される瞬間まで暗号が有効だということだ。

グーグルが初期のコードをリリースしたことで、開発者は実際にそれを使って自身のChromeプラグインを作り始めることが可能となった。これがその説明通りに動作するのであれば、理論上はグーグルですらその暗号を解くことができない、セキュアな電子メールが実現することになる。

トップ画像提供:Quinn Dombrowski(Flickrより)

Pocket