増井技術士事務所 増井技術士事務所

意外と多い?問い合わせフォームの不完全な暗号化

暗号化の表示を確認

A社の商品を購入しようか迷っていたBさん。購入にあたり疑問点があったため、A社に問い合わせることにしました。A社はホームページを持っており、そこには問い合わせフォームがありました。問い合わせの内容を記入しようとしたBさんは、そこに書かれてある説明文に目を通しました。

そこには、「お客様の個人情報保護のため、SSLを用いた暗号化通信に対応しています」という文言がありました。確かにアドレス欄を見ても「https」で始まっており、鍵マークも表示されていました。

入力内容の確認

Bさんは安心し、自分の名前と返信先のメールアドレス、質問内容を記入して送信ボタンを押しました。送信は問題なく完了したようで、「あとはA社からの回答を待つだけ」と思った次の瞬間、メールが届きました。

送信元はA社のアドレスで、「返信不可」の文字とともに、内容を確認するメールでした。そこにはBさんの名前と、送信した問い合わせ内容が記載されていました。

暗号化して送信しても返信メールは暗号化されていない

メールの盗聴の可能性

ここで、Bさんはふと考えました。暗号化は「個人情報の保護」のためであったはずではないか?Bさんに確認メールが送信され、そこに問い合わせ内容や名前が書かれているということは、そのメールはどこを経由してきたのだろうか?

通常、電子メールは平文で送信されています。つまり、メールで送信した件名や本文、メールアドレスなどは暗号化されていません。

今回の場合、確かに問い合わせフォームは暗号化されているかもしれません。つまり、Bさんが入力した内容がA社に送信された時点では暗号化されているでしょう。ところが、そこからメールで送信されるということは、A社からBさんに届くまでの間は暗号化されていないことになります。

もし今回の問い合わせにおいて、確認メールが盗聴されていたとしたら、暗号化して送信した意味はあるのでしょうか?

問い合わせフォームの実態

上記の例に限らず、実際に正しく暗号化されていない会社は非常に多いと思われます。今回のように確認メールを送るという場合以外にも、問い合わせがあったことを担当者に知らせるために、社内で担当者宛にメールを自動送信している例もあります。

「問い合わせがあった」という内容だけであれば問題ありませんが、その本文も含めて送信しているシステムは少なくありません。問い合わせフォームは暗号化されているけれども、担当者が問い合わせ内容を確認する画面は暗号化されていない、というシステムもあります。

利用者としては実際に送信してみないと、どのように管理されているかを知る術はありません。送信してみてもわからない、という場合が多いのが実情です。