2024年度版S/MIMEのメーラー別対応状況の調査結果を発表

一般財団法人日本情報経済社会推進協会（東京都港区、会長：杉山 秀二　以下、JIPDEC）は、フィッシング対策協議会（東京都千代田区、会長：岡村 久道）の証明書普及促進WG（主査：田上 利博）、S/MIME推進協議会（東京都杉並区、会長：佐々木 良一）と協力して、主要な電子メールソフト・サービス（以下、メーラー）のS/MIME※1（エスマイム）対応状況を調査し、結果を公表します。

S/MIMEは本人から送信されたメールであることや改ざんがされていないことを確認することができます。多くの企業・団体において、メールでファイルを送信する際の「ZIP暗号化（PPAP※2）」が慣例化されていましたが、メールの盗聴リスクやZIP暗号ファイルへのマルウェア混在などセキュリティリスクが指摘され続けていました。2020年11月に政府機関がPPAPを廃止する方針の発表をきっかけに民間企業においても廃止の方針を表明するなど、脱PPAPが定着しています。S/MIMEは暗号化してメール送信ができるため、PPAPの代替策としても注目されています。

また、JIPDEC/ITRが実施した「企業IT利活用動向調査2025」では、S/MIME（メールへの電子署名）を現在実施している企業は34.2 %、今後実施したいと回答した企業は33.2%となっています。S/MIME（メールの暗号化）を現在実施している企業は36.0 %、今後実施したいと回答した企業は31.4%となっています。

図1. 電子メールのセキュリティ対策として実施している項目

出典：JIPDEC/ITR 「企業IT利活用動向調査2025」より

■調査概要と結果

2024年12月から2025年2月にかけて、５つの主要なメーラーでOSごと（Windows10、iOS、Android）の計13種類のS/MIME対応状況について図2のとおり調査を行いました。なお、今回の調査から「Outlook（アプリ・新しい）」を追加しています。

S/MIME電子署名メールを受信してなりすましと区別することができるメーラーは10種類で、OutlookやGmailなど国際的に普及したメーラーが対応しています。

S/MIME電子署名メールを送信できるメーラーは、Outlook（Webブラウザ、PCアプリ、iOS、Android）とThunderbird、iPhone標準アプリのメールの7種類でした。また、S/MIME暗号化メールの送信も受信も、同様の7種類のメーラーが対応していました。

図2. メーラーのS/MIME対応状況調査結果

■S/MIMEの表示例

有効なS/MIMEメールを受け取ると、図3のように表示されることを確認しました。

図3. S/MIMEの表示例

また、図4のように、S/MIMEメールはS/MIME対応メーラーではマークが出ますが、非対応メーラーではマークは表示されず、添付ファイルが付くことを確認しました。

図4. S/MIMEの対応の有無による表示の違い例

■メーラーに求められるS/MIME対応

最近では、フィッシング対策協議会が公表した緊急情報である図5のように、三井住友銀行とは無関係の電子証明書を添付してS/MIMEに偽装したメールが確認されています。

これは、S/MIMEに対応していないメーラーを逆手に取った攻撃です。正規のS/MIME電子署名メールから電子証明書情報を抜き出し、攻撃メールに添付していました。

S/MIMEに対応しているメーラーで本偽装メールを受信した場合、s/mime.p7sが添付されているだけで図4にあるリボンマークなどの電子署名の有効なマークが表示されません。一方、S/MIMEに対応していないメーラーでS/MIME電子署名メールを受信した場合、その電子署名が有効であるか無効であるかに限らず、受信メーラー側で電子署名情報を添付ファイル（smime.p7s）として表示します。

そのため、S/MIMEに対応していないメーラーを利用しているユーザーが、S/MIMEのメーラーの挙動を認知していると、S/MIME電子署名がされたメールだと誤解する可能性があります。

S/MIMEに対応していないメーラー上では、本偽装メールと正規のS/MIME電子署名メールの区別がつきません。そのようなメールを見ても受信者が偽装と区別ができるよう、各メーラーはS/MIMEに対応することが求められます。

図5. S/MIMEに対応していないメーラーを狙った攻撃

出典：フィッシング対策協議会 緊急情報 「S/MIME 電子署名ファイルが添付されたフィッシング (2023/12/15)」より

本調査は、今後も時勢に沿って調査対象を見直しつつ継続し、適宜結果を公表していく予定です。

JIPDEC、フィッシング対策協議会、S/MIME推進協議会は、今後もインターネット上のなりすまし対策の普及啓発を行ってまいります。

※１ S/MIMEとは：

電子証明書を用いた電子メールのなりすまし対策技術の一つ。送信メールに電子署名をすることで、受信者側はその本人から送信されていることが確認でき、また改ざんを検知することができます。送信内容を秘匿する暗号化をすることもできます。

※2 PPAPとは：

暗号化されたZIPファイルをメールで送り、同じ経路で解凍パスワードを送る手法がPPAP（ピーピーエーピー）と呼ばれています。

【JIPDECについて】

会社名：一般財団法人日本情報経済社会推進協会（法人番号: 1010405009403）

所在地：東京都港区六本木一丁目9番9号 六本木ファーストビル内

URL：https://www.jipdec.or.jp/

設立：1967年12月20日

会長：杉山　秀二

概要：

JIPDECは、1967年よりわが国の情報化推進を目的に、技術的・制度的課題を解決するため、施策を支える制度の運営（プライバシーマーク制度、JIPDECトラステッド・サービス登録等）や、データ活用・保護に関する各種調査研究とそれに基づく政策提言、電子契約やなりすまし対策、情報マネジメントシステムに関する普及啓発等の活動を行っています。

【フィッシング対策協議会について】

会社名：フィッシング対策協議会

事務局：一般社団法人 JPCERTコーディネーションセンター

所在地： 〒103-0023　東京都中央区日本橋本町4-4-2　東山ビルディング8階

URL：https://www.antiphishing.jp/

設立：2005年4月28日

会長： 岡村　久道

概要：

フィッシング対策協議会は、2005年に発足し会員である民間企業、団体相互の共助を主軸に、官民・海外関係機関との連携を図りつつ、深刻化・悪質化するフィッシング詐欺への対処を行ってまいりました。そして社会インフラとして欠かせない様々なオンラインサービスを、消費者が安全に利用できる健全な情報化社会の実現を目指して活動を行っております。

【S/MIME推進協議会について】

会社名：S/MIME推進協議会

所在地：〒167-0032 東京都杉並区天沼1-31-11

URL：https://www.s-mime.jp/

会長：佐々木 良一

概要：

S/MIME推進協議会は、S/MIMEの普及に向けて、S/MIMEの利用方法に関する説明、ユースケースの紹介、ソリューションの紹介などの様々な情報発信を行っております。

■本件に関する問合せ先

一般財団法人日本情報経済社会推進協会（JIPDEC）

セキュリティマネジメント推進室　佐藤

https://www.jipdec.or.jp/smpo_inquiry.html