Gmailユーザーは今すぐSSL接続にしましょう！ハッキングされる前に！ - まりおんのらんだむと〜く＋というかGmailユーザーは今すぐSSL接続にしましょう！ハッキングされる前に！ | G Mania - グーグルの便利な使い方によると、いつの間にか「Gmailの接続をすべてhttpsにする」という設定が追加されていたようで、めでたいです。

ちなみに、全く同じ問題はほかのWebメールにも存在すると思うので、気になる人は気にしてください。

セッションハイジャックの問題なので、危険性があるものは･･･

1. ブラウザから一度ログインした後別のページに移動し、しばらくたった後にまたWebメールを開くとすぐログイン後の画面に移行するもの
2. ブラウザを開いたままその機械を別のところに持って行って、別のアクセスポイントから（別のIPアドレスで）アクセスし直してもやっぱりつながるもの

一つ目は「しばらく」というのが結構重要で、何時間かたっていてもつながるのかで話はかなり変わります。有効期間が長ければそれだけ攻撃を受ける機会があるからです。そういえばgmailは「ブラウザを終了しても、一日ぐらいたっていてもつながる」気がしますね。cookieの有効期限を見れば分かるかと思いましたが、複数使っているのでどのクッキーがログイン状態を保持しているのか分かりませんでした。数ヶ月有効なのもありましたけど、これは表示状態の保持に関わるものかもしれない･･･

二つ目のテストははっきり言って普通できないですが（笑）これで接続できるものはセッションハイジャック攻撃をどこからでも仕掛けられます。IPが変わっただけではじくと、移動体通信とかで問題があることがあるので難しいところなんですが。
ちなみに、ブラウザを閉じたり再起動していたりしてもつながるならもっと弱いです（笑）

今回のお話は「Gmailのセッションハイジャック用の攻撃ツール」が出回ったことに関連してのお話のようですが、

重要な記録も最近はメールで送ることが多いです。

Gmailユーザーは今すぐSSL接続にしましょう！ハッキングされる前に！ | G Mania - グーグルの便利な使い方

という人にはもっと根本的な問題が存在します。

1. Gmailはもともとhttp接続だったので、セッションハイジャック攻撃が可能な攻撃者なら、通信内容は傍受可能だった。
2. そもそも、電子メール自体の根本的な通信方法である「SMTPによるメールリレー」では通信は暗号化されておらず、メールサーバー間の通信を傍受すれば通信内容は平文で入手可能。
3. 通常、ユーザーが電子メールサーバーにアクセスするための通信方法であるPOPアクセスでは、パスワードが暗号化されておらず、セッションハイジャック攻撃を受けるような状況下ではこのパスワード自体を攻撃者に盗まれてしまう。

まぁ、2番の問題については、「特定個人のメールの内容」を盗む方法としてはかなり空想的なものなのですが、網に引っかかったものの中から価値のあるものを拾うようなやり方をしている攻撃者もいるはずなので忘れてはいけないことです。

当然、企業秘密レベルのものを狙っている本格的な攻撃者なら狙って網を張ることもできるでしょう。

一番危険なのは3番の問題なんですが、これを気にしている人は意外と少ないようで、いつも不思議に思います。
特定個人を狙う場合でも、その人の端末からの通信を（しかもメールソフトが動いているときに）監視していればいいだけなので、割と簡単です。しかも傍受に成功すれば、メールサーバーのアドレスからユーザーのログイン名、パスワードと接続に必要な情報が一通りそろってしまう危険さです。

これを回避するには、APOPとかPOP over SSLとかを使いますが、メールサーバー側、クライアントソフト側の対応が必要です。

でも、三番の対策をしても二番の問題は消えないんですけどね（笑）。二番の問題を消すには、結局のところメールの内容自体をPGPなりGPGなどで暗号化してしまうしかありません。

2番や3番の問題は、そもそも電子メールが「閉じたネットワーク」つまり、「研究所の中だけのネットワーク」「企業の中だけのネットワーク」などを想定して作られたものであるにもかかわらず、なし崩しにインターネット上で使われていることが問題の根本です。

電子メールとは葉書のようなものである（封書ではない）と思っておくとちょうどよいでしょう。
中を見ようと思って小細工を弄している人には簡単に中身を見られてしまうし、見られたことも検証できない、ということです。

電子メールで扱う内容は、「葉書に書ける程度のもの」にしておくのが無難です。