米グーグルによると、2022年2月10日から同年5月11日の間に同社のメールサービス「Gmail」で送信したメールの18%、受信したメールの12%で通信経路が暗号化されていなかったという(図1)。つまり、やりとりされたメールの1割以上が盗聴のリスクにさらされていた。
なおここでの「通信経路が暗号化されていない」というのは、Gmailのサーバーとメールサーバー間で、安全な通信手法(プロトコル)が使われていないということである。例えば送信メールの場合は、Gmailのサーバーと送信先のメールサーバー間の通信のうち18%で安全なプロトコルが使われず、メールが暗号化されていなかった(図2)。
日本国内のほうが事態は深刻なようだ。インターネットイニシアティブ(IIJ)が自社のメールサービスで2020年10月に調査した結果によれば、送信メールの30.4%、受信メールの37.5%が経路を暗号化されていなかった。
標準では暗号化されない
グーグルが指摘したのはメールサーバー間の通信経路のリスクだが、実際には他にも危ない通信経路がある。クライアントとサーバー間の通信経路だ(図3)。
メールの方式には大きく分けてメールクライアント方式、Webメール方式の2種類がある。前者はクライアントに専用ソフト(メールクライアント)を用いる方式、後者はWebブラウザーをクライアントにする方式だ。いずれにおいても暗号化すべき箇所はクライアントとメールサーバー間、メールサーバーとメールサーバー間の2カ所だ。
メールクライアント方式では、メールクライアントからメールサーバーへのメール送信や、メールサーバー同士の送受信にはSMTP▼というプロトコルが使われる。また、メールクライアントがメールサーバーからメールを受信する際にはPOP▼やIMAP▼といったプロトコルが使われる。
これらはいずれも標準では暗号化の機能を備えていない。このため後述するような暗号化の仕組みを導入しないと、メールは経路上を暗号化されずに送られる。実際冒頭で書いたように、暗号化に対応していないメールサーバーが少なからず存在するために、非暗号化経路が残ることになる。
Webメール方式も、メールクライアント方式と同様にメールサーバー間の通信にはSMTPを使う。このため暗号化されない通信経路が存在する可能性がある。
ただしクライアントがWebブラウザーなので、Webの暗号化プロトコルであるHTTPS▼を標準で使用する。このため暗号化の仕組みを別途用意しなくても、クライアントとサーバー間の通信は暗号化される。
