- ベストアンサー
smtp・popのメールセキュリティ
ネットワークの勉強しているものです。 ネット上でよく 「メールで名前、住所、電話番号(←とりあえず第三者に渡ってはいけない情報ね)を入力し送信してください。」 の類のやり取りがされていますが、これってありなんでしょうか? (ネットショッピングのhttpsもこれで意味ないですよね) 企業 対 企業のセキュリティが確保されている場面なら解りますが、 そうではない一般ユーザに対するメールでかなり見かけます。 (オンラインショッピング、就職活動のメール上の履歴書など) 相手がどんな環境でメールの送受信をしているかがわからない以上、 最もポピュラーなSMTP,POPの使用を前提としてやり取りするしかないはず。 そうなると盗聴、なりすましの危険性がでてきますよね。 思いつくだけでも、 リピータで構成されているコリジョンドメイン内でのパケットキャプチャ、 wepのみ無線環境でのパケットキャプチャ だと簡単に出来てしまう気がします。 また、可能性は低く、私自身は具体的に出来ませんが サーバ自身または周りのノードを攻略できれば、 まさに「データホイホイ」一網打尽状態になると思います。 技術者の視点で(エンドユーザではない) この状況に対する知識をお持ちの方、 ご教授お願いします。
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
> イラッシャイマセ! ウチはお客さんの情報は大切に扱ってますよ。ホラ、入力ページもssl乗っけてるでしょ。 > ↓ > ああ、httpだけの入力ページと比べると、危険性がぜんぜん違うね。安心だ。よし、注文しよう > ↓ > (クリアテキストメールで)注文内容の確認メールです。お客様のお名前・住所・電話番号~ > ↓ > 意味なくない?(こんなことなら、ssl使ってなくても、同じレベルの危険度では) こんなのは盗聴の脅威を理解していない典型的な例かもしれません 例えばクレジットカードの番号16桁がそのまま載ってたりしたら完全に理解していない事例だと思います その辺を理解していたらメールで送付するのは確認のための必要最小限の情報に絞るはずです もしくは、SSLを暗号をメインの用途としてではなく、サーバ証明(なりすましを防ぐ)として使っている可能性も0ではありませんが..........
その他の回答 (4)
- koinobori7
- ベストアンサー率44% (8/18)
これについては、 暗号通信 とか 暗号メール で 検索すると データホイホイ とならないような方法とメールソフトが 見つかります。 メールの添付ファイルはどんな形式のものでも送信できるので メール本文を暗号化したら添付ファイルとして 送信し、受信したら復号化して表示すればよいのです。 残念ながら楕円曲線暗号を使ったものは 見つからないのですが、基本的な解決方法は すでに提案されています。
お礼
回答ありがとうございます。 暗号通信や暗号メール これが一般的にもスタンダードになればいいですよね。 (一般人向けのISPって、メール環境においてはセキュリティサポートが甘いような気がします。)
補足
私の質問文、意味解りにくいですよね。すみません セキュリティを確保する方法を第一に知りたいわけではなく この質問の第一の意図は 「セキュリティ確保がされてない経路で、平然と(個人情報などの)第三者に漏れてはならない情報がやり取りされているように見えますが、 このような状況を技術者の視点から見た場合、どう思われますか?」 ってことです。(エンドユーザの視点からはいいです) アンケート的な質問かもしれませんが、技術者からの回答が聞きたかったため、この板で質問させてもらいました。 期待していた答えとしては 「お前は勘違いをしている、実はちゃんとセキュリティが確保されて~」 「セキュリティが確保されていない背景には事情があって~」 などです。 説明の流れで、補足としてセキュリティ確保の説明があればOKと考えています。
- 774danger
- ベストアンサー率53% (1010/1877)
> しかし、このセキュリティが確保されていない経路で運用している所はどんな背景があるんでしょうね?(何も考えてないのでしょうか?) ・何も考えていない(パケット盗聴のリスクを理解していない) ・パケット盗聴のリスクを理解しているが、費用や技術の問題、利便性の優先から対策ができていない のどちらかでしょう メールに関して言えば、いくらクライアント-メールサーバ間をSMTPS/POPSで暗号化しても、メールサーバ間は通常SMTPですから暗号化は困難です かといって、PGP等で暗号化して送信してもらえばいいのかというとそれはそれで手間がかかる、と セキュリティ対策は、発生頻度、発生した場合の被害(額)、対策に必要な費用をトータルで考慮して優先順位をつけ行っていく必要があります
お礼
回答ありがとうございます。 > 何も考えていない(パケット盗聴のリスクを理解していない) > パケット盗聴のリスクを理解しているが、費用や技術の問題、利便性の優先から対策ができていない うーむ、「手間・費用・利便性とリスクのバランスを考えて」というのは解りますが、 「何も考えてない、理解していない」っていうは・・実際いるんですか?(ありえないと思い、冗談半分で聞いたつもりだったんですが・・) あと、ネットショップの場合、この2つの可能性+客を釣るためという理由もあるのでは、と考えてます。(私が無知なだけで、セキュリティがちゃんと確保されている?) イラッシャイマセ! ウチはお客さんの情報は大切に扱ってますよ。ホラ、入力ページもssl乗っけてるでしょ。 ↓ ああ、httpだけの入力ページと比べると、危険性がぜんぜん違うね。安心だ。よし、注文しよう ↓ (クリアテキストメールで)注文内容の確認メールです。お客様のお名前・住所・電話番号~ ↓ 意味なくない?(こんなことなら、ssl使ってなくても、同じレベルの危険度では)
- 774danger
- ベストアンサー率53% (1010/1877)
内容的にはこの質問とそっくりですね http://oshiete1.goo.ne.jp/qa4494687.html
お礼
回答ありがとうございます。 リンク先の質問内容は、まさに私が疑問に思っていたことの一つですね。 疑問に対する回答も大変参考になりました。 しかし、このセキュリティが確保されていない経路で運用している所はどんな背景があるんでしょうね?(何も考えてないのでしょうか?) そこが一番分からなくて、知りたい部分です。
- notnot
- ベストアンサー率47% (4900/10358)
お書きになっていることはおおむねその通り(※)だと思いますが、知りたいことはなんでしょうか? 実際にデータを盗んだ実例ですか?それは仮に知っていても書けないと思いますけど。 注※ 途中経路で盗まれる可能性としては、無線LAN、プロバイダやIXPの内部者くらいでしょうか。 >リピータで構成されているコリジョンドメイン内 はさすがに今は無いでしょう。ネット的に盗むとしたらLANスイッチのミラーポート。内部者の場合、犯罪だというのをさておいても、クビを掛けて盗むメリットが感じられません。何日何時何分にどこそこのネットに確実に大金になる情報が流れることがあらかじめわかっていれば別ですが。 家庭の無線LANは危なっかしいと思います。
お礼
回答ありがとうございます。 補足を足しましたので、よろしければ、また回答お願いします。 えーと、リピータの件ですが、これって調べてみてもバレにくいと思いません? というのもコレ実例なんです。 (変体ヤロウが女性のメールパケット盗ってました。見つけられたのも偶然。因みにリピータではなくスイッチでしたが、攻略したそうです。)
補足
自分が思っていることを出しすぎて質問があやふやになってしまいました。すみません。 質問は 「SMTP/POPで構成されたメール環境だとマズイのに、個人情報等を要求してくるWebサイト(オンラインショッピング等)の事を 技術者の視点で見た場合、サイト側はどういった考えがあってやっているのか、どんな背景があるのか」 っていうのを聞きたかったのです。 期待していた答えとしては 「そういった背景には~があってしかたなく~」 「技術者としてはセキュリティを強くしたいが、クライアントの要望第一で~」 「最初からそういったことは視野に入れていない(理解していない)」 「手間とリスクのバランスで~」 など。 本来なら特設アンケート板での質問かもしれませんが、技術者の意見を聞きたかったためにこの板で聞きました。
お礼
回答ありがとうございます。 あー、やっぱりそうなんですか。 回答者様のおかげで確信できました。↓ あまりに多くのネットショップがこの流れを取っているため、 「私が勘違いしているか、何か裏があるのでは?」 とも思っていました。 小さいところなら分かりそうですが、大手も多かったので。(amaz○nもこの手法だったような・・)