電子メールに関するセキュリティ

Tibet Activist Workshop(2011年2月6日)での講演より

本内容に起因または関連する使用不能、データの消失、利益の損失、またそれらが原因で生じたいかなる損害についてもSFT本部およびSFT Japanは責任を負いかねます

Gmail, Yahoo!メール, Hotmail… どれを使うのがよいでしょうか?

セキュリティの面から言えばGmailを使うのが最善ですが、いまHotmailやYahoo!メールを使っているのなら、それはそのままにしておいて、安全に注意を要する時だけGmailを使うようにすればよいでしょう。Gmailのアカウントは誰でも作れます
アカウント名には自分の本名が推測できるような文字列を含めないようにしましょう。

HTTPではなく、HTTPSを使おう

Gmailを使うのであれば、常にhttpsを使いましょう。「設定」をクリックすると、「全般」タブの中に「常にhttpsを使用する」という選択肢があります。これをチェックしましょう。

1_https.gif

アドレスバーに表示されるURLが "http:" で始まっていればhttp通信、"https:" で始まっていればhttps通信です。たった1文字の違いですが、httpsではSSLによる暗号化が自動的に行われます。

httpで通信するのは、あなたが何を読むのであれ、書くのであれ、はがきに書いて郵送するようなものです。もしパスワードをそこに書けば、相手に送られる途中で世界中の人がそれを読むことができてしまいます。途中の通信が暗号化されるhttpsを使えば、パスワードに封をしてきっちり糊付けして送ることができます。もしどこかでスパイが狙っていても、安全にサービスを利用できます。
"s" がセキュアでセーフだということを忘れないこと

4_https.gif

FacebookもGmailと同様のオプションを提供しています。Settingsメニューの中で選択できるので、設定しておくべきです。Facebookは世界中の人々に使われています。チュジニアでもエジプトでもイランでも多くの人が活用し、政府はユーザーのアカウントを狙っています。それなのにユーザーがその危険性をあまり理解していないのが心配です。
Firefoxについては、HTTPS Everywhereというプロジェクトが、さまざまなサービスを自動的にhttpsで利用できるようにするプラグインを提供しています。

別の誰かがログインしていませんか?

6_accountactivity.gif

Gmailのウィンドウのいちばん下には、このような小さな表示があります。「アカウント アクティビティの詳細」をクリックすると、ポップアップウィンドウが表示され、誰が、どこからログインしているのかがわかります。
以前インドでトップクラスの機密を扱う人たち15人を対象にワークショップを行った際、うち5人のポップアップウィンドウには中国からのアクセスが記録されていました。彼らはショックを受けていました。セキュリティのためのGmailを使っているのに、設定がきちんとされていなくて役に立っていなかったわけです。中国からだけとは限らず、米国の愛国的中国人がアクセスする場合もあります。

通常このポップアップウィンドウには「このアカウントは他の場所からアクセスされていないようです。」と表示されます。もし同時に他の場所から誰かが覗き見していれば、その場所がどこかがわかります。
あるときインド在住の重要な情報源から、Gmailで「あなたのアカウントが中国からアクセスされました」という警告が表示されていると連絡がありました。不正ログインを警告してアカウント乗っ取りを防止するような機能改良にGoogleは熱心です。いったい何があったのか、彼に問いただしたところ、彼が3日前ダラムサラのネットカフェにあるWindows PCからGmailにログインしてメールチェックしたことがわかりました。そこでパスワードをやられたのです。
ダライ・ラマが住み、チベット亡命政府があるダラムサラは中国ハッカーの最大の標的で、そこのネットカフェが安全であるわけがないのです。残念ながらダラムサラではどのPCも汚染されていると思った方がよいでしょう。くれぐれもネットカフェを使わないこと。くれぐれもPCを借りないこと。特にWindowsは安全ではありません。

メールがハッカーに筒抜けになっていませんか?

決して宣伝をしているわけではありませんが、Gmailでのセキュリティに関するチェックポイントをもうひとつ。
「設定」から「メール転送とPOP/IMAP」をクリックするとメール転送に関する設定が表示されます。

3_transfer.gif

便利な機能ですが、この機能を知らないと、いつのまにか自動転送がチェックされていて、知らないアドレスが転送先に指定されていることがあります。信じられないかもしれませんが、実際にあったことです。「フィルタ」でも同様の設定ができるので、ここにも不要な設定がされていないかどうか気をつけてください。

2_filter.gif

添付ファイルの鉄則は「絶対に開かない」

添付ファイルを開いたら、何も表示されなかったという経験をしたことがありませんか? あるいはリンクをクリックしたのに、何も起きなかったということは?
あなたにとって何も起きなかったように見えただけで、実は何かが起きたのです。Windowsにせよ、Macにせよ、不正なプログラムが常に脆弱性を狙っています。知らないうちにやられてしまいます。
ウイルスチェックをしていると言うかもしれませんが、無駄です。例えば、チベット支援者を標的に作られた「特製」ウイルスは、ウイルス対策プログラムでは検出されません。一般には出回っていないからです。これらは「ゼロデイ」ウイルスとも呼ばれます。私たちはサイバー戦争の最前線にいるのだということを忘れてはいけません。誰も助けてはくれません。あなた自身を守れるかどうかは、あなたの心がけ次第です。

5_preview.gif
SFT Japanに実際に届いた添付ファイル付きのメール。

SFT本部では添付ファイル禁止をルールにしました。受信したメールにファイルが添付されていても絶対に開きません。
もしファイルの中身を確認する必要があれば、Gmailの「表示」リンクを使いましょう。もしファイルがウイルス感染していれば、ファイルをダウンロードするとウイルスもくっついてきますが、Gmailで「表示」をクリックすれば、ファイルを開かず、オンラインで中身がわかるので、ウイルスの影響を避けることができます。

どうしてもダウンロードしてファイルを開く必要があるなら、VirusTotalを使うのがよいでしょう。通常ウイルスチェックは、1種類のウイルス対策プログラムでしか行いませんが、VirusTotalは30〜40ものデータベースを使ってオンラインチェックしてくれます。ファイルをアップロードすることもできるし、URLを指定してチェックすることもできます。
例えばPhayulは何度もアタックされており、過去にはページに不正なプログラムが埋め込まれたこともありますが、Phayulへアクセスする前に、VirusTotalでPhayulのURLを指定してチェックしておけば、Phayulがいま安全かどうかがわかります。

7_vt.gif
VirusTotalでチェックしたところ、やはり添付ファイルは汚染されていた。

VirusTotalも完全ではありません。各セキュリティベンダーでさえ追いつかないようなウイルスが出現する可能性があることを念頭に置き、「ダウンロード」や「保存」をクリックする前にもう一度考えましょう。

セキュリティに関する話は尽きません。ネットを使った活動には気をつけるべきことがたくさんありますが、それを上回るメリットがあるでしょう。防御に気をつかうだけでなく、Webやメールといったコミュニケーションツールを最大限に活用して、自分たちの活動を成功させましょう。