FAXがメールより安全かどうかという問題は、数十年にわたって議論されてきました。この質問への答えは白黒つけられるものではなく、仕事の性質、交換する機密情報の種類、ネットワークを攻撃しようとする人々の技術レベル、そしてシステムをどれだけ適切に保護しているかによって大きく異なります。
この議論は2つの陣営に分けることができます。FAXは物理的な回線でデータを送信するためハッカーによる傍受を受けにくいと考える人々と、FAX機はネットワークに直接接続せずメールのようにインターネット経由で送信しないためハッキングは問題にならないと考える人々です。どちらの陣営にも正しい点と誤っている点があります。FAXがメールより安全だと考える人々の主張を検証してみましょう。
FAXとメールのセキュリティ面
FAXのセキュリティ面
- 傍受には電話回線への物理的アクセスが必要
- メッセージの取得にはFAX機への物理的アクセスが必要
- メッセージが他の人がアクセスできる場所に届く可能性がある
- 一度受け取ると、受信メッセージはサーバーに無期限に残らない
- FAXヘッダーは偽装できる
- 偽装の検出はほぼ不可能
メールのセキュリティ面
- 傍受には高度なハッキングスキルが必要
- メッセージは(通常)保護されたコンピュータに届く
- メッセージがサーバーに無期限に残り、ハッキングを待つ可能性がある
- フィッシングの影響を受けやすい
- 適切に設定されていれば送信者情報の偽装を防げる
- 偽装の検出は困難だが、手がかりがある場合もある
物理的な側面
アクセシビリティ
メールと比較したFAXの包括的な特徴はシンプルです。それは物理的であるということです。FAXで送信されるすべてのデータは電話回線を使用するため、ハッカーが傍受するには電話回線へのアクセスが必要です。FAXで送信される情報を傍受するには物理的なアクセスが必要です。一方、意欲的なハッカーはネットワークやシステムに直接接触することなく、インターネット接続を通じて移動するメールを傍受できます。
ハッカーが物理的アクセスを得た後も、電話回線を効果的に盗聴するには時間と専門知識が必要です。最も高度なハッカーは電話回線を盗聴し、送受信されるデータを傍受する能力を持っています。電話の盗聴には特定の機器が必要で、設定に時間がかかります。そして現在のハッカーの技術レベルを考慮すると、傍受目的で電話回線に侵入することは高度なハッキングと見なされます。
しかし、物理的な側面は他のリスクも生み出します。例えば、一部の企業ではFAX機が他の従業員がアクセスできる公共エリアに設置されていることがあります。第三者が到着して回収されていないメッセージを見たり盗んだりする可能性があります。これはメールでは起こりにくいことで、メッセージは通常パスワードで保護されたコンピュータに届き、保護されたメールサーバーに保存されます。
ソフトウェアの側面
FAX機はコンピュータベースのマルウェアの影響を受けません。これはこの攻撃経路からより安全であることを意味しますが、軽減すべきリスクは依然としてあります。
ウイルス
FAX機は閉じたハードウェアベースのシステムです。そのため、アナログFAX機にコンピュータウイルスやマルウェアをインストールすることはできません。これにより従来のFAX機は電話回線を通じてウイルスを送信することができず、送信者がFAX機を通じて受信者にウイルスを送信することもできません。
マルウェア
FAX機を攻撃するマルウェアを作成することは可能かもしれませんが、特にインターネットFAX機能を持つハイエンドの複合機(実質的に大型コンピュータ)の場合、従来のFAX機は現在、有効な攻撃経路として知られていません。マルウェア作成者にとって、FAX機よりもコンピュータやスマートフォンを標的にする方がはるかに効率的です。
暗号化
「FAX機は暗号化されていますか?」という質問をよく受けます。
地元のオフィス用品店やAmazonで購入した通常のFAX機でFAXを送信する場合、送信されるFAXは暗号化されていません。ITU-T FAXグループ3または4(旧CCITT FAXグループ3または4)と呼ばれるよく知られたデジタル伝送形式で送信され、電話回線を盗聴できる人なら誰でも傍受して読むことができます。
外交使節団や高セキュリティ機関で使用されているようなFAX送信の暗号化ソリューションは存在します。ただし、これらには送信側と受信側の両方で専用の相互互換機器が必要です。したがって、これらから一般的なFAX使用に一般化することはできません。
オンラインFAXサービスプロバイダーが暗号化FAXを提供すると主張する場合(以下のGoogle検索結果に表示されているように)、実際のFAX送信を指しているわけではないことに注意することが重要です。代わりに、ファイルストレージ、システムへのアクセス、またはFAXとしての送受信の前後にメールやAPIでFAXメッセージを伝達するセキュリティを指している可能性があります。
「encrypted fax」という検索語でGoogleの最初の結果として表示されるFAXサービスプロバイダーは、次のように述べてこれを確認しています。
InterFAXシステムを通じて送信されるメッセージのセキュリティは、メールを暗号化することで強化できます。これはサーバーからFAX機自体へのFAX送信を暗号化するものではありませんが、コンピュータからサーバーへの転送中にメッセージの内容を保護します。- upland InterFAX
実際には、メールを署名および暗号化する機能は長い間存在し、ほとんどの最新メールクライアントで利用可能であるにもかかわらず、ほとんどのメールも暗号化されていません。
ただし、この欠点を軽減しているのは、今日のほとんどのメールサーバーが相互間でTLSを「話す」という事実で、これによりメール送信の盗聴や改ざんが事実上不可能になっています。
人的要因
フィッシング
攻撃者はFAX機よりもメールを好みます。FAX機はフィッシングに対して即座に影響を受けにくいためです。悪意のあるハッカーにとって、FAXに対するメールの利点は、危険な添付ファイルを開くようユーザーを騙すことで目的を達成できることです。
この意味で、攻撃者がマルウェアでユーザーを感染させるにはメールを使用する方が簡単です。しかし、メールとは異なり、FAX機には外部からメッセージを収集するメールボックスがありません。また、電子的に保存されていても、受信FAXは知識のある人が手動でストレージに転送する必要があります。これは攻撃や脅威に対する追加の保護層と考えることができます。
スプーフィング
メールスプーフィングは、攻撃者がメールメッセージの「差出人」フィールドを変更して、別の人から来たように見せかける技術です。通常、これは詐欺やフィッシングなどの犯罪目的で使用されます。これは軽減できますが、なりすまされた当事者がメールサーバー(より具体的にはDNSサーバー)を正しく設定することに依存します。
同様に、FAXでもスプーフィングが可能です。FAXの文脈では、スプーフィングは2つのことを意味する場合があります。
- 実際の送信者以外の送信者を表示するふりをするFAXヘッダー(CSID)を送信する。
- 偽の発信者IDでFAXを送信する。これにはより深い電話設定へのアクセスが必要です。
FAXヘッダー(CSID)スプーフィング
FAXは受信側にヘッダーを送信するように設定できます。ヘッダーは何でも含めることができる長いテキストですが、通常は送信日時、FAXの送信元番号、送信者名、その他の情報を表示します。Canonのユーザーマニュアルでは次のように表示されています。
FAX受信者がFAXの真正性を確認するために依存する可能性のある送信者のFAX番号と名前は、送信FAX機の通常の設定で簡単に変更でき、FAX確認を検証には信頼できないものにしています。
偽造
メールとFAXの両方の内容を偽造することは非常に簡単です。しかし、FAXが送信者に関する手がかりを比較的少ししか提供しないのに対し、メールは到着するまでにたどった経路に関する豊富な情報を提供します。また、メールが偽造されたと言えなくても、送信者の評判がその真偽の可能性についてのヒントを与えることがよくあります。
FAXを偽造するのは、どんな画像編集ソフトでも簡単にできます。企業のレターヘッドへのアクセスはインターネットを通じて簡単に得られ、あとは詳細を記入するだけです。署名のためにFAXで送られた文書を受け入れるという人々の信頼は、この点でかなり素朴です。これが完了すると、上記のような適切なFAXヘッダースプーフィングを行うようにFAX機の設定を構成することも簡単です。これにより、受信者は常識以外に文書が本物か偽物かを判断する情報がほとんどなくなります。
ある意味では、メールを偽造するのも同様に簡単です。しかし、少なくともメールが届くと、以下の画像が示すように、分析を可能にする大量のメタデータが付いてきます。
結論
ご覧のとおり、両方の選択肢が攻撃にさらされている場合、FAXがメールより安全か安全でないかを断言することはできません。真実は、これらの2つの通信方法が異なる脅威を生み出すわけではないため、すべては仕事の特定の性質と直面するリスクに依存するということです。