厳格なコンテンツセキュリティポリシーで電子メールを保護

Tutaのコンテンツセキュリティポリシーは、XSS攻撃を防ぐことを目的としています。セキュリティとは、可能な限り多くのデータを暗号化すること以上のものだからです。

2024-06-11
Padlock symbolizing encryption of data.
Tuta Mailでは、お客様のセキュリティとプライバシーを最優先し、世界中の数百万人から信頼されるサービスを構築しています。クラス最高のセキュリティを達成するために、私たちは厳格なCSP(コンテンツセキュリティポリシー)、クロスサイトスクリプティング(XSS)攻撃を防ぐためにメールに未知のコンテンツを表示するためのHTMLサニタイザーを使用し、デフォルトで外部コンテンツの読み込みをブロックします。しかし、これは具体的に何を意味するのでしょうか?
新規登録

現代のコミュニケーション手段である電子メールは、世界中の誰とでもすぐに連絡を取り、会話を始めることができるため、非常に便利です。しかし、電子メールの利便性とともに、サイバー攻撃、特にクロスサイトスクリプティング(XSS)攻撃の脅威が迫っています。このような攻撃は、Eメールの設計上、従来のEメールサービスに対してよく見られるものです。Tutaでは、お客様のセキュリティを最優先し、Tuta Mailのすべてのユーザーをこのような脅威から守るための措置を講じています。厳格なコンテンツセキュリティポリシー(CSP)とHTMLサニタイザーを導入することで、お客様のメールボックスが悪意のある攻撃から保護されるようにしています。

CSPとは何ですか?

コンテンツセキュリティポリシー(CSP)は、クロスサイトスクリプティング(XSS)やデータインジェクション攻撃などの悪意のある攻撃を防ぐためのセキュリティ基準です。CSPは、ウェブクライアントでメールを開いたときに、どのコンテンツソースの読み込みが許可されるかを明確に指定します。TutaのCSP実装は、信頼できるコンテンツのみがメールボックスに表示されるようにし、悪意のあるコードが実行されるリスクを軽減するという重要な役割を果たしています。Tuta MailのCSP実装の重要な特徴の一つは、HTMLサニタイザーであり、メール内に埋め込まれた潜在的に有害なコンテンツに対する強固な防御メカニズムとして機能します。このサニタイザーは、不審なコードやスクリプトがないか受信メールをチェックし、ユーザーのデバイスやデータに脅威を与える前にそれらを削除します。

外部コンテンツのブロック

さらに、Tuta Mailは、悪意のあるコードやトラッキング目的のピクセルを含む可能性のある画像や動画などの外部コンテンツをブロックします。これはまた、リモートでホストされた画像やスクリプトなど、メールに含まれる潜在的に危険なコンテンツがデフォルトでブロックされることを意味し、XSS攻撃の可能性を大幅に低減します。しかし、信頼できる送信者から正当なコンテンツを受信した場合はどうでしょうか?もちろんTuta Mailでは、送信者が信頼できる場合、外部コンテンツを手動で読み込むことができます。これは、メール内でクリックするだけで簡単に実行でき、その決定は今後のメール用に記憶させることもできます。この情報はブラウザのキャッシュに保存されるため、キャッシュがクリアされない限り、信頼できるメールの外部コンテンツは自動的に読み込まれます。この直感的なアプローチにより、セキュリティに妥協することなく、対話するコンテンツについて十分な情報に基づいた決定を下すことができます。

Screenshot of a Tuta email that blocks external content asking whether you want to "Show" the images, "Always trust sender" or "Always block sender." 画像を「表示する」、「送信者を常に信頼する」、「送信者を常にブロックする」のいずれかを尋ねる、外部コンテンツをブロックするTutaメールのスクリーンショット。

追跡なし

当然のことながら、Tutaはプライベートメール、カレンダー、連絡先を使用する際、あなたを追跡することはありません。その上、セキュリティ上の理由から、Eメール内の外部コンテンツの読み込みをブロックするだけでなく、あらゆる種類の追跡を阻止します。Eメールで画像や動画を受信する場合、マーケティング会社などからのピクセルが含まれていることがよくあります。このようなコンテンツをブロックすることは非常に重要です。なぜなら、Eメールは、複数のプラットフォームであなたとあなたのオンライン習慣を追跡しようとする広告主のお気に入りのツールだからです。

マーケティング担当者は、サードパーティのサーバーから読み込む必要がある外部コンテンツを埋め込むことでトラッキングピクセルを含めることができるため、メールが大好きです。これらのピクセルを使えば、あなたがメールを開封したかどうか、いつ開封したか、メールに含まれるリンクをクリックしたかどうかなどを知ることができます。

メールクライアントがデフォルトで画像や動画などの外部コンテンツを読み込む場合、ユーザーの同意を求めることなく、これらのトラッキングピクセルは他のデータと一緒に読み込まれます。これが、Tuta Mailが外部コンテンツの読み込みをブロックするもう一つの理由です。

セキュリティ第一

2014年に初のエンドツーエンドの暗号化メールサービスであるTutanotaを発表して以来、私たちはセキュリティに重点を置いてきました。

私たちの強固なセキュリティには多くの対策が含まれています:

これらすべての対策により、Tuta Mailが最も安全なメールプロバイダであることを確認しています。悪意のある攻撃から受信トレイを保護することに関しては、Tuta Mailは最良の選択であり、すでに何百万人もの人々から信頼されています。最先端のセキュリティ対策を実施するための揺るぎないコミットメントにより、ユーザーは自分のメールがXSS攻撃やその他のサイバー脅威から保護されていることに安心することができます。

当社の高いセキュリティ基準に関する詳細は、セキュリティページをご覧ください。

新規登録
Author
Black and white picture of Hanna being shocked a bit.
ハンナは2014年に安全な電子メールクライアントTutanotaを発表して以来、Tutaチームの一員です。長年にわたり、彼女は一般のインターネット・ユーザーに暗号技術を説明するエキスパートとなり、プライバシーがなぜ重要なのか、暗号化がウェブ上のデータ保護にどのように役立つのかを誰もが理解できるようにしている。
トップの投稿
2024年の脅威モデリング:セキュリティ向上のためのガイド
2024年ベスト10プライベートEメールサービス
グーグル、EUと米国でのロビー活動よりも検索独占のために1150倍を支払う
パスワードマネージャーを使う理由 - トップ3!
電話番号なしの匿名メールアドレスを数秒で作成。
スイスのプライバシー」が最高という幻想
2024年、最高の無料メールアカウント10選
Latest posts
ヨーロッパもオーストラリアも暗号化は破らない!チャットコントロールという言葉を作ったパトリック・ブレイヤーに、プライバシーが重要な理由についてインタビューした。
オーストラリア政府に対し、オンライン安全法の改正により暗号化を保護するよう求める公開書簡。
ゼロ知識アーキテクチャとあなたのデータ
ツタ・メール社、Googleのダウンランキング問題で沈黙していたウェブサイトの順位が謎の回復
サブスクリプションを解除
会社名
コミュニティ
チーム
求人
利用規約
プライバシー
インプリント
開発
更新履歴
ロードマップ
セキュリティ
暗号化
オープンソース
GitHub
機能
安全なメール
無料の暗号化されたカレンダー
ビジネス
サポート
フォーラム
プレス
サポート
言語
日本語
翻訳