電子メールのセキュリティを考える：Magi's View（1/2 ページ）

メールを暗号化せずに送信したり、それを保存する第三者を介在させることの危険性について考えておく価値はある。ここでは特に、メールの暗号化と、Yahoo!、Google、Microsoftのようなサードパーティプロバイダが管理しているメールの安全性について考えてみたい。

[Joe-'Zonker'-Brockmeier，Open Tech Press]

　米国の国家安全保障局（National Security Agency：NSA）が電話の傍受を行っている今、電子メールのセキュリティについても真剣に考えるちょうどいい時期かもしれない。ここでは特に、メールの暗号化と、Yahoo!、Google、Microsoftのようなサードパーティプロバイダが管理しているメールの安全性について考えてみたい。

　多くのユーザーにとって、暗号化の利用はやり過ぎに思えるかもしれない。だが、「PGP & GPG: Email for the Practical Paranoid」の著者マイケル・ルーカス氏は、情報を秘密にするかどうかの選択権があるのは良いことだ、と述べている。「ただ私は心から‘プライバシーを守るための選択肢が必要だ’と思っているに過ぎず、多くの人々も同じように考えているはずだ」（同氏）。

　ルーカス氏の著書には、GNU Privacy Guard（GPG）とPretty Good Privacy（PGP）の使い方が見事に説明されている。しかし、GPGやPGPの利用は、多くのユーザーにとっては手間がかかって面倒に思われる追加の手順である。

　例えメッセージの署名や暗号化の必要性を十分承知していても、相手にもそうした操作をしてもらうにはどうすればよいだろうか。ルーカス氏は次のように答えている。まずは単にメッセージの署名から始めて「それを続けていれば、やがて周囲の人々はあなたが真剣なのを知り、その重要性を分かってくれるだろう。中にはそれに合わせてくれる人もいるだろうから、あなたのPGP署名メッセージを受け取った人々の何人かはメッセージを暗号化して返信してくるはずだ」

　Windows派の友人や家族に暗号化を使うように説得できる人には、OutlookやOutlook Expressに代わるものとしてルーカス氏はMozilla Thunderbirdを勧めている。というのもMicrosoftは「（暗号化のための）堅固なプラグインを書くのに必要な明確でオープンなAPIを提供していない。それに、私がコンピュータの手助けをしている人々は、Thunderbirdを使い始めたとたんに（サポートを求める）電話をかけてこなくなった」と彼は語っている。

法律と電子メール

　電子メールのプライバシーが法律で保護されているという考えは、ある程度は正しい。電子フロンティア財団（Electronic Frontier Foundation：EFF）の上級幹部弁護士リー・ティエン氏は「法律による電子メール送受信のプライバシー保護は、電話による通話とほぼ同じ扱いであるが、その傍受を規制する厳格なルールが存在するため、政府が合法的に電子メールの傍受を行うには、盗聴の命令書を入手する必要がある」と説明している。

　しかし、政府の場合は電子メールの検閲に裁判所命令が必要だからといって、インターネットサービスプロバイダ（ISP）の場合もそうなるわけではない。ISPとの契約内容にはISP側にメールを調べる権利が与えられていることがあり、プライバシーが「サービス約款（ToS）で放棄されている可能性もある」とティエン氏は指摘する。

　いずれにしても米国では現在、電子メールの法的保護は、通信傍受法（Wiretap Act.）に依るところが大きい。1968年に審議をはじめて通過して以来、1986年の電子通信プライバシー法（Electronic Communications Privacy Act：ECPA）においてなど数回の改正があったが、依然として電子メールを扱うには不十分な内容である。

　最初に起案された通信傍受関連の法律は、電話の通話――その場限りのやり取り――を対象にしていた。録音されない限り、電話で行われた会話が後に残ることはない。これに対して電子メールの場合は、メッセージが送信先に届いた後も複数の場所に保存されることがあり、これまでになかった形態の調査が可能だ。メッセージのコピーが保存される場所には、送信者のコンピュータ、送信者が利用しているISPのサーバ、受信者側のISPのサーバ、受信者のコンピュータのほか、メールが経由してきたこれらマシンのバックアップ先も含まれる。

　電子メールに関しては、まだ通信傍受法は確立の途上にある。例えば、サーバ経由で送られた電子メールは電子的通信であって「記録された」ものではないと、この法律に照らして法廷が判断を下すまでには4年もかかった。

　その判例を作ったカウンシルマン氏の事件は、暗号化や電子メールの管理がなぜ必要なのかを示すよい例である。この事件では、希少価値のある書籍の目録を作成していたInterloc社が顧客向けに電子メールサービスを提供していたのだが、同社の副社長ブラッドフォード・カウンシルマン氏は、顧客宛てにAmazon.comから送られてくるメールのコピーを組織的に行う決断を下した。Amazonから Interlocの顧客へと送られるメールはprocmailスクリプトを使ってコピーされたため、顧客がそのメールを受信すると、カウンシルマン氏もそのコピーを見て業務上の目的に利用することができたのだ。

　当初、法廷は、送信中の電子メールは私的なものではないと判断したため、第三者のサーバ経由で送られたメッセージは、顧客による交信を詮索したがISPにとっては格好の標的と考えられていた。第1巡回控訴裁判所（The First Court of Appeals）はこの判断を覆したのだが、Interlocの顧客に対するカウンシルマン氏の行為はこれには当たらないとされていた。

　結論として、自分の電子メールが第三者の管理するサーバを経由したり、そうしたサーバに保存されている場合は、秘匿すべきメッセージの暗号化を検討するのがよさそうだ、ということになる。また、自分のメールに第三者の手が及ばないような方法を考えるのもいいだろう。

　ただし、暗号化された電子メールのうち、保護されるのは本文の内容だけであることに注意が必要だ。ヘッダやログファイルには、メールの送信日時、送信先、件名、添付ファイルに関する情報が含まれている。せっかく暗号化しても、自分の管理下にないサーバを使ってメールを送信すれば、本文の内容は別として、送信者や受信者の情報は、サーバのログにアクセスできる誰かに見られるおそれがあるのだ。