パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apple、偽レシートメールの識別法を解説」記事へのコメント

  • メールに電子署名すれば良いのでは? Gmail等では対応してないけど、主要なメールクライアントでは対応してるでしょう。

    • メールに電子署名すれば良いのでは? Gmail等では対応してないけど、主要なメールクライアントでは対応してるでしょう。

      長い間 Gmail は S/MIME 署名に非対応で、添付ファイルとして「smime.p7s」が表示されるという酷い状況でしたが、最近になって対応したようです。
      今確認してみたところ (スクリーンショット) [imgur.com]、Android 版 Gmail (8.2.11.186835846) でも、PCブラウザ版でも署名の検証ができました。

      スマホなら件名や差出人等の情報が表示されている部分の「詳細を表示」をタップ、PCブラウザ版なら To の文字のすぐ右の □ で囲まれた ▼ ボタンをクリックで確認できます。
      例えば、三菱東京UFJ銀行からのメールであれば、「確認済みメールアドレス」として「email_info02@mufg.jp」が表示されるので、From が偽装されていないことは確認できます。

      しかし、住信SBIネット銀行からのメールなど「サポートされていないアルゴリズムが署名で使われています。 デジタル署名が無効です。」というエラーが表示されるメールも多いようです。自分のメールボックスに来ているメールをいくつか確認してみたところ、このエラーが表示されるメールは共通して micalg が sha1 なので、おそらくそれが原因だと思われます。

      三菱東京UFJ銀行(エラー無し)
      Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg="sha-256"; boundary="(略)"

      住信SBIネット銀行(エラー表示)
      Content-Type: multipart/signed; protocol="application/x-pkcs7-signature"; micalg=sha1; boundary="(略)"

      sha-256 だと古いメーラーでエラーになるし、sha1 だと Gmail でエラーになるというジレンマになってそうです。

      残念なことに、Gmail では S/MIME 証明書の Subject 全体を確認することはできないようで、Subject の情報(例えば組織名や住所など)を見たかったら「証明書をダウンロード」から pem をダウンロードして、「openssl x509 -text -noout -in certificates.pem」などのコマンドを実行する必要があります。
      しかし、現状でも差出人のメールアドレスが偽装されていないことだけは、S/MIME 署名があれば Gmail のメール表示画面からワンタップで確認できるので、正当なドメイン名と比較することでフィッシング詐欺対策に活用できます。

      親コメント
      • Subject の情報(例えば組織名や住所など)を見たかったら「証明書をダウンロード」から pem をダウンロードして、「openssl x509 -text -noout -in certificates.pem」などのコマンドを実行する必要があります。

        誤解を招くので補足します。この方法は、証明書の中身を表示するための方法なので、署名の正当性の検証は別途行う必要があります。

        親コメント
      • by Anonymous Coward

        説明、感謝いたします。

      • by Anonymous Coward

        s/mime署名に対応してもs/mimeのe2e暗号化やpgpには対応しないのか
        e2eが普及するとメール内容検閲して広告目的で使えなくなるから嫌なんだろうな

        • by Anonymous Coward

          現状、署名されているメール自体少ないので、仮にその全てが暗号化されても広告ビジネスに大きな影響はないと思うよ。
          メールの暗号化はSignal程の手軽さがないし、Webメールである以上、送信相手と自分の証明書をどこにどのように保管するのかという課題がある。

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

処理中...