コラム:電子メールが本物であることを確認するしくみ

「電子署名をつけると、なんでメールが本物だってわかるの?」という部分について、ここで説明していきたいと思います。

  • 少々ややこしい内容になりますが、電子署名のしくみを完全に理解する必要はありません。もちろん、理解できるに越したことはないですが、最も重要なのは「正しい確認方法を身につけること」ですので、気楽にお読みください。

電子署名付き電子メールってどんなもの?

証明書の発行

三井住友銀行はシマンテック社に「確かに三井住友銀行である」という実在証明情報を提出し、電子メールに添付するための証明書と封かん紙(封をするのに使用するシール)を購入します。

  • 「実在証明情報」は実物の登記簿謄本などを指しますが、ここでいう「証明書」や「封かん紙」は、実際は暗号化技術を用いた電子的なものを受け取ります。

ちょっぴり専門豆知識シマンテック社とは?

電子署名付き電子メールにおいては、「誰がメールの送信元が正しいことを保証するか」が重要です。

シマンテック社はパソコンの電子メールソフトに「信頼できる証明書発行機関」としてあらかじめ登録されています。つまり、みんなが知っていて安心できる証明書発行機関だと言えます。

電子署名付き電子メールの送り方

お客さまに送る電子メールの本文と一緒に、シマンテック社から発行された「証明書」を封筒に入れ、「封かん紙」で封をします。

これも実際には暗号化技術を用いた電子的な手法により行われていますが、これが「電子署名を付けた」という状態です。

このメールをお客さまに送信します。

電子署名付き電子メールの確認

まず、お客さまが三井住友銀行から電子署名付き電子メールを受信すると、電子メールソフトは以下の点を自動的に確認してくれます。

以下の条件を満たさない場合には警告(エラー)が出ます。

ご注意ください開く

証明書発行機関があらかじめ電子メールソフトに「信頼出来る証明書発行機関」として登録されていること
→証明書が信頼できるかどうかを確認します

証明書に印刷されている封かん紙と電子メールの封をしている封かん紙が一緒であること
→電子メールの本文が改ざんされていないことを確認します

証明書に書かれている名前・住所が電子メール差出人の名前・住所と一緒であること
→封をした人が証明書に書かれている人で間違いがないことを確認します()

  • 電子メールソフトの中にはお客さま自身で確認しなければならないものがあります。

後はお客さまが下記の点を確認することで、電子メールが本物であると判断できます。

封をしている封かん紙が信頼できること・破れていないこと(電子メールソフトが警告を出さないこと)
→有効な電子証明書であり、改ざんなどがされていないことを確認します

証明書の発行元がシマンテック社であること
→三井住友銀行では電子証明書の発行をシマンテック社で行っていますので、それ以外の証明書発行機関でないことを確認します

証明書の発行先が「三井住友銀行」で住所()が合っていること
→三井住友銀行が作成・送信していることを確認します

  • ここでいう「住所」とは実際には電子メールアドレス(〜@smbc.co.jp)のことです。

実際の確認手順

電子署名付き電子メールの受信イメージ、確認手順はメールソフト毎に異なりますので、くわしくは各メール受信用ソフト毎の確認手順をご覧ください。

電子署名付き電子メールに対応している主なメール受信用ソフト

こんな場合は?
電子署名付き電子メールが偽造・改ざんされた場合

電子署名付きの電子メールを受取った時に電子メールソフトが警告を出したり、証明書に書かれている情報がおかしい場合(証明書の発行元や発行先、電子メールアドレスなど)、そのメールは偽造されたものか、改ざんされたものである可能性があります。

ケース1途中で中身を書き換えられた電子メール

三井住友銀行がお客さまへ送った電子メールを犯人が盗んで中身を入れ替えるケースです。
この場合、封かん紙が破れていることで偽の電子メールだとわかります(電子メールソフトが警告を出します)。

ケース2犯人が偽の証明書を取得して、送信した電子メール

犯人が偽の証明書を取得して、差出人を「四井住友銀行」の名前で送信します。
この場合は、証明書を確認することで偽の電子メールだとわかります。確認する項目は2点です。

  1. 1.メールアドレスが「xxxxx@xxx.smbc.co.jp」で終わっていること。
  2. 2.証明書の発行元が「シマンテック社」であること。

また、偽の証明書で三井住友銀行の電子メールアドレス(xxxxx@xxx.smbc.co.jp)を装った場合には、電子メールソフトが証明書と比較して警告を出します

こんな場合は?
三井住友銀行名義の証明書の取得は?

もし犯人がシマンテック社へ「三井住友銀行」の名前で証明書の発行を依頼した場合、シマンテック社は実際の三井住友銀行でなければ証明書を発行しません