ITmedia NEWS > セキュリティ >
ニュース
» 2020年12月24日 09時47分 公開

新連載「サイバーセキュリティ2029」:我々はメールをどうしたらいいのか? 今使っているアカウントで10年後も乗り切れるか考えてみよう (1/2)

「少しだけ未来」である2029年を無事に迎えられるよう、サイバーセキュリティを考えていく新連載です。

[宮田健,ITmedia]

 モバイルデバイスやインターネットはもはや私たちにとってのライフラインです。特に今、気軽に外出もできない状況においては、インターネットを介したショッピングやバンキングなどがなければ生きていけません。それだけに、サイバー世界のセキュリティは日常の防犯同様、気を付けるべきことです。

 おそらく将来、映画や漫画の世界のようにヒューマノイドが人間同様街を歩く時代になれば、セキュリティもAIがステキに解決してくれると信じています。しかし、そこに至るまでは私たち人間が少しだけ学び、少しだけ歩み寄るしかありません。そこでこの連載では、サイバー空間での活動が全盛となるであろう2020年代の最後、「少しだけ未来」である2029年を無事に迎えられるよう、今、この時点でセキュリティ向上のために何ができるかを一緒に考えていきたいと思います。

photo

 先日、「自分が保持するメールアドレスを、他人が各種サービスに登録してしまう」問題を取り上げたITmedia NEWS 松尾氏の記事が非常に話題になっていました。SNS上の反応を見ていても、まさに同じ悩みを抱えているといった共感の声も多く、意外とメジャーな問題であることが分かります。

 実は私も8文字のGmailアカウントを初期に取得しており、それがイニシャル1文字+名前という構成であるためか、日本国内のみならず海外に住む日系のタケシさん(仮名)まで、さまざまな人に間違えられています。

photo 著者の連載「半径300メートルのIT」

 これまで来た間違いメールは各種メールマガジンに始まり、大阪の図書館での図書返却依頼、さらにはどこかの橋を建設するに当たっての設計図など多岐にわたります。

 根本的な解決は2つしかありません。利用者が気を付ける、そしてサービス運営側が「登録時にメールアドレスの存在性をきっちりと確認するフェーズを入れる」です。正確には後者のみさえ実装されれば、こんなことに苦しむことはないでしょう。

 多くの場合短めのGmailアドレスを取得しているのは、おそらく古くからネットの世界にいる住人でしょう。結果的にそういう人たちが被害に遭うため、自分が登録すらしていないサービスが、それなりにネット知識のある人たちに酷評されてしまうことにつながります。おそらくサービス運営側は、登録時に複雑な手順を課すことで離脱されやすくなってしまうなどと言い訳をするでしょうが、やはりしっかりとメールアドレス入力→メール送信しテキスト内のURLをクリックさせることでメールアドレスの所持者であることを確認、という流れを実現すべきだと思います。

 とはいえ、もはや現状を全て変えることはできないことも事実。個人的にも本当に困る事象です。

独自ドメインで運用するメールの事情

 もう一つ、メールに関して最近頭を悩ませている事象があります。私自身はGmailではなく独自ドメインのメールを運用しており、サブで利用していたGmailはほとんど見ることはありません。間違いメールが来ても無視すればよいというスタンスでしたが、最近のサイバー攻撃を考えると、独自ドメインのメールに関しても運用を気にしなければならないと考えています。

 仮想通貨取引所を運営するコインチェックは2020年6月、サイバー攻撃を受けました。そしてそれはセキュリティ識者が騒然とするような手口でした。原因不明の遅延発生をきっかけに調査を進めていくと、なんとドメインの管理情報が乗っ取られていたことが判明したというものです。

 私が独自ドメインを取った頃は「自分だけのメールアドレスはカッコイイ」程度の認識で運用を始めても問題はありませんでした。現在ではさまざまなサービスを、この独自ドメインのメールで取得しています。正しく運用できている間は問題がないと思うのですが、もしこれが奪われてしまったら、第三者は送られてくるメールをすべて奪うことができてしまうわけです。

 悪意ある攻撃者ならば、メールが届く経路を不正に奪った後、著名なWebサービスに片っ端からパスワードリセットを送り、アカウントの権利を奪取するでしょう。おそらくほとんどのサービスは「メールアドレスを持つもの=正当な利用者」と判断しているはず。そうなると、独自ドメインのメールアドレスはメールサーバだけでなく、DNS設定も常にウォッチする必要があります。

 中小を含む企業であれば、そういった点にも気を使えるかもしれません。しかし個人レベルとなると、もはやそこまでして維持すべきものだろうかと不安になってしまいました。ましてや、私が不慮の事故であの世にいってしまったとき、ドメインの継続ができなくなってしまうと大きな問題になるはずです。自分自身はこの世のものではなかったとして、家族や知人がそのドメイン配下にいたとしたら……心残りで成仏できないかもしれません。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.