ニュース
» 2007年04月19日 13時58分 UPDATE

APOPにパスワードが漏れる脆弱性

APOPにパスワードが漏えいする脆弱性があると、IPAが注意喚起を呼び掛けている。プロトコル上の問題のため根本的な対策方法はなく、SSLを使う回避方法を推奨している。

[ITmedia]

 独立行政法人の情報処理推進機構(IPA)は4月19日、メール受信の認証法式の1つ「APOP」に、パスワードが漏えいする脆弱性があるとして注意を呼び掛けた。プロトコル上の問題であり、現時点では「根本的な対策方法はない」といい、SSLを使う回避方法を推奨している。

 APOPはパスワード漏えいを防止するために考案されたメール受信用プロトコル。だが、APOPが使っているハッシュ関数「MD5」の問題が元となり、APOPにもパスワードが漏えいする弱点が見つかったという。

 メール受信用パスワードをSSHやWebサイトのログインにも利用している場合、この弱点からパスワードが漏えいすると不正ログインに悪用される可能性もある。

 現時点での回避方法として、POP over SSLやWebメールを使うなど、SSLによる暗号化通信を利用することを挙げている。またこうした回避方法がとれない場合は、メールパスワードを他のシステムのパスワードと同じにしないことで、悪用された際の被害を軽減できる、としている。

 MD5の問題はこれまでも論じられてきたが、3月末に開かれた暗号学の国際会議「FSE2007」でAPOP脆弱性への攻撃方法などが発表され、研究者の間では周知の問題になっているという。IPAは「プロトコル上の問題であり、解決には時間がかかるため、メールソフト利用者への影響を考慮して注意喚起として公表する」としている。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -