ISP が私たちのデータを守ってくれるなどと期待しない方がいい

厳密にはメール配信の「経路の暗号化」が解除されている，というお話。

2007年に APOP の仕様上の脆弱性が発覚して以来，メールサーバとの認証の際に SS/TLS を通すことが一般的になってきた。 STARTTLS はそういった経路の暗号化のひとつで， MUA（Mail User Agent）とメールサーバの間だけでなくサーバ間の経路もこれで暗号化できる。今回の EFF の報告は STARTTLS による暗号化が ISP（Internet Servive Provider）によってぶった切られているというものだ。（あくまで一部の ISP だけどね）

まぁ，正直に言って今更な話である。私たちはそこまで ISP を信頼していない。例えば ISP は spam メールをフィルタリングしてくれると言うが，そのためにはメールの内容を「盗聴」しなければならないということを分かってないユーザが存外多い。 Gmail なんてメールの中身を見てユーザに関連広告を配信している。彼らは利益のためには他人のプライバシーを覗き見ることだって平気でやるのだ（もちろん利益を出すことは営利企業の最大の正義だ）。そしてそれに警察当局が便乗する。これが商業主義にまみれた「インターネット」の実体である。

そもそも電子メールは安全なメッセージング・システムではない。「ハガキ」なみに誰にでも丸見えのメッセージを安全でない経路で配信するのだから当たり前である。だからこそ OpenPGP などの暗号化ツールで「封書」にすることが必要になってくるのである。

電子メールに関して，経路の暗号化解除より深刻なのは，サーバ上に置いてあるメールデータが一切暗号化されていないということだ。

昔のようにパソコンで POP3 でメールをダウンロードしていた頃はそんなこと考えなくてもよかった。サーバに残ってるメールデータは削除すればよかった（そもそもサーバ上のメールボックスの容量が10MBからせいぜい100MBとかそんな時代である）。でも今はスマホなどの携帯端末を複数持ってお互いに情報を同期させる必要がある。そのためにはメールデータもサーバ上に保持しておく必要がある。そしてサーバ上に保持されているメールデータは（少なくともユーザ以外に復号できないようには）暗号化されてなく，陰に陽にサービスプロバイダに利用され放題な状況になっている。

何が言いたいかというと，メールデータを機密にしたいなら「経路の暗号化」ではダメで「データの暗号化」を行わなければならないということ。そのためには S/MIME や PGP/MIME といった暗号化手法が必須だということだ。そしてこれは声を大にして言いたいが

もはや時代遅れの Web ベースのメールクライアントなんか捨てろ！

Google も End-to-End みたいな中途半端なツールの開発をするなら Gmail アプリや Inbox アプリを OpenKeychain に対応させるくらいの芸を見せてみろよ。