インターネットサービスプロバイダはメールの暗号化を勝手に解除していることが判明

By Jimmy Smith

インターネットサービスプロバイダとはインターネットへの接続環境を提供する企業のことで、日本にはOCNやYahoo! BB、eo、BIGLOBEなどが存在します。インターネットに接続するには欠かせない存在であるインターネットサービスプロバイダが、暗号化された顧客のメールを勝手に暗号化解除してしまっている、という恐るべき事態が明らかになりました。

ISPs Removing Their Customers' Email Encryption | Electronic Frontier Foundation
https://www.eff.org/deeplinks/2014/11/starttls-downgrade-attacks

ここ数ヶ月の調査により、アメリカやタイのインターネットサービスプロバイダは、通信プロトコルを暗号化通信に拡張するための「STARTTLS」による暗号化を解除し、顧客のデータを傍受していることが判明しました。

STARTTLSは他のサーバやクライアントと通信する際に電子メールサーバに暗号化を要求するというもので、エンドツーエンドで暗号化が行われるPGPとは異なり、暗号化はサーバ間でのみ行われます。このSTARTTLSを無効化することで、インターネットサービスプロバイダは電子メールサーバが暗号化するはずのメールや、暗号化されたメールの暗号化を解除してしまうというわけです。

By Roland Tanglao

そして肝心の「なぜ暗号化が解除されてしまっているのか？」は、ファイアーウォールが原因になっていることも判明しています。シスコのPIX/ASAを含むいくつかのファイアーウォールは、スパムメールの送信元を突きとめたりこれらが一般ユーザーに送られるのを防ぐためにメールを監視しています。これらのファイアーウォールが、メールをチェックするためにSTARTTLSを無効にしてしまい、ユーザーのメールの暗号化が勝手に解除されてしまう、という事態に陥ってしまっているようです。

STARTTLSが無効化される、つまりメールの暗号化が解除されてしまう現象は、これまでほとんど気づかれないままでした。それは、この現象が大抵の場合、自宅のネットワーク上などで生じるものであったからで、今回のようにメールサーバで大規模な事態が起きるのは「普通ではない出来事」であるためです。

By Tripp

2013年まで、STARTTLSは珍しい部類に入る暗号化方式でした。しかし、2013年に電子フロンティア財団がこの暗号化方式を採用している企業を高く評価し始めたので、多くの企業がSTARTTLSを採用するようになりました。その結果、現在では多くのメールプロバイダがSTARTTLSを採用して顧客のメールを暗号化しているそうで、電子フロンティア財団の技術スタッフであるJacob Hoffman-Andrews氏は「インターネットサービスプロバイダが無許可で顧客のメール暗号化を解除することを直ちに止めることは、非常に重要なことだ」としています。

なお、自分の使用しているメールサーバがSTARTTLSを採用しているかどうかを確認したい場合は、以下のページから確認できます。

STARTTLS.info