メールをディスるわけではないです。

正しく知って使いましょうというお話。

メール(Eメールとか、電子メールとも言う) は、企業や学校だけでなく多くの組織や個人が利用していますね。PTAでも利用しているところが多いかと思います。

実はレガシーな古い仕組み

多くの人が使っているサービスなのだから安心安全だろうと思うのは少し違います。

メールには、SMTPやPOP3, IMAP4という古い技術が使われています。これらは、メールをやりとりする際に使われるプロトコル（通信規約）です。

困ったことに、インターネットの広がり始めにまだハッキングやセキュリティなどが騒がれる前の考え方で設計されていますのでセキュリティがザルです。なのに、多くの利用者がメールを使っているために、抜本的な対策や入れ替えが進んでいません。というか手がつけられないようになっています。(ネットワークのすべての利用者のメール経路、サーバ変更やメールソフトの変更を同時にやらないとメールが届かなくなってしまうから)

封筒に入れずに手紙をやりとりしてる

メールの技術的な要点には、メールサーバと通信経路があります。

メールサーバを自分の家、通信経路を手紙が郵送される経路だとイメージするとわかりやすいかも知れません。

自分の家であるメールサーバにはいろいろセキュリティ対策を施すことができます。IDとパスワードでログインするようにしたり、位置情報を使ってどこからログインしたのかチェックしたり、端末の種類が違うと警告を出したりなど。

しかし、手紙が郵送される経路では古い方式のままなので、経路が暗号化されたり、メールを暗号化したりなどの処理は行っていません。

その為、多くのメールサービスでは封筒に入れていない手紙を送り合っている状態なのです。

現在でも、メールは外部に覗かれるリスクがあるから暗号化してやり取りするか、機密は書くべきではないという状況です。大企業の場合は、自社の他拠点とやり取りする際にはイントラネット（通信経路を暗号化して他者から覗けなくする）という対策をしていますが、他社とのやりとりではイントラネットを通らないので注意が必要になります。個人利用のメールサービスでは基本的に何も対策されていないと思います。

メールの添付ファイルについても同様に通信経路上で横取りされたり覗かれたりするリスクがあります。

また、POPではメールサーバへのパスワードも暗号化されず平文で送られていたりします。

暗号化対応も用意されてきているがあまり効果はない

POP3s, IMAP4s, SMTPs などのSSL対応したプロトコルも用意されてはいますが、これらを使っても暗号化できる経路は自分のメールソフトとメールサーバ間くらいで限定的な範囲となります。相手側も対応してくれないといけません。

確実にメールを暗号化して相手とやり取りするには、PGPなどでメール自体を暗号化する必要がありますが、公開鍵を使ったりするのは一般の利用では敷居が高いのでまず使われていないでしょう。

そんなに心配しなくても良いはず？

PTAや学校とのやり取りを狙って盗聴するハッカーや組織はおそらくいないとは思いますし、覗かれても金銭的、プライバシーに甚大な被害が及ぶような内容はやりとりされていないとは思います。

会員名簿などの住所、氏名、電話番号などのリストをメールに添付して送るのは個人情報の漏洩を招くリスクが高いのでアカンやつです。

メールは安心安全ではないという意識を持つことが必要です。

他にもいろいろ問題あり

届くかどうかは保証がない？

通信経路上で問題が起きた場合、メールを盗むようなヤカラがいた場合、その他もろもろの要因で、メールには到達保証性が担保できません。

フィルタされることも

受信する側のメールサービスによっては自動的にフィルタされてしまうこともアルアルな問題です。大事なお知らせがフィルタされて読まれていないというのをよく耳にします。

ウィルスを広めるかも

メールリストの誰かがウィルスに感染してメールリストの登録者にウィルスを拡散させるメールをばらまいてしまうという問題もアルアルです。

たぶん現実的な被害はこちらの方が起こりえます。

アダルトサイトにアクセスしてマルウェアなどに感染してしまうなど、メール起因ではない場合でも、拡散手段にメールが使われる場合が多いです。

もっとも重要な個人情報

そんな課題がアルアルなメールですが、多くの人に使われています。現状のネット社会では、氏名や年齢性別、住所よりもメルアドこそがもっとも重要な個人情報だと思います。

メールアドレスでいろいろなサービスに登録できますよね。

なので、メールアドレスは漏れない様に注意する必要がありますが、どこか一か所からでも漏れてしまうともはや手遅れです。

そのため、残る重要な情報であるパスワードは死守する必要があります。

パスワードの使いまわしはダメ！絶対！

いろいろなサービスで同じパスワードを使いまわしている人が実はたくさんいます。私もそうでした 😞

そのような人たちは、リスト型攻撃と呼ばれるハッキングの標的になります。私自身も過去に登録したLinkedInというサービスからメルアドとパスワードが漏れて → Facebookアカウントを乗っ取られてお友達にウィルスメールとか怪しい商材メールが送られまくって怒られた。

Appleのアカウントも乗っ取られてiTunesカードを大量に購入されていた。

などの被害を受けたことがあります。

クレジットカード登録しているサービスのアカウントが乗っ取られると金銭の被害もありますので恐ろしいです。私もクレカの明細を見てアセりました；）

パスワード変えるのメンドクサイ、覚えられない！

わかりみが深いです。私も同じでした。

そんなあなたには、パスワードを覚えなくても良い、イニシャルパターン方式をおススメします。

例えば、miley3150 というパスワードを普段使っている場合、

Twitter用： miley3150tw

Facebook用：miley3150fb

などのように、このサービスを2文字で表すならこれ！と自分で直感的に思いつく文字を追加します。3文字でも良いです。

これを実践するだけで、覚えなくても直感でパスワードを思い出せます。

どこかのサービスでメルアドとパスワードが流出したとしても慌てずにすみますし、被害をそのハッキングされたサービスだけに限定できます。

Miley PTAアプリは大丈夫なのか？

Miley PTAアプリでは、全ての通信はSSL対応で暗号化されています。メールアドレスとパスワードは別管理になっていますし、Googleの提供するアカウント管理サービスを利用していますのでセキュリティはGoogle並みです。ユーザのみなさまのパスワードは暗号化されて厳重に管理されているので、サービスの管理者である私も覗くことができないようになっています。