ITmedia NEWS > セキュリティ >
ニュース
» 2018年05月15日 08時40分 公開

暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性 (1/2)

電子メールの暗号化に広く使われている規格に、暗号化されたメッセージを攻撃者が平文で入手できてしまう脆弱性が報告された。特にApple Mail、iOS Mail、Mozilla Thunderbirdなどのメールクライアントが危険だという。

[鈴木聖子,ITmedia]
photo 「PGP」「S/MIME」に発見された脆弱性は「EFAIL」と命名された

 電子メールの暗号化に広く使われている「PGP」「S/MIME」の両規格に、暗号化されたメッセージを攻撃者が平文で入手できてしまう脆弱性が報告された。米電子フロンティア財団は当面の対策として、電子メールクライアントのPGPを無効にし、別の手段に切り替えるよう勧告している。

 脆弱性はドイツのミュンスター応用科学大学などの研究チームが発見し、「EFAIL」と命名。2018年5月13日から14日にかけて技術論文などを公開した。

 電子フロンティア財団の発表やEFAIL解説サイトによると、EFAIL攻撃ではHTMLメールなどのコンテンツを悪用する手口で平文が抽出される恐れがある。攻撃の前提として、攻撃者はまずネットワークトラフィックの盗聴や電子メールアカウントのハッキングといった手口を通じ、狙った相手の暗号化されたメールを入手しておく必要がある。

 その後、脆弱性を突いて入手したメールに手を加え、被害者の電子メールクライアントに送信する手口で、メールの内容を復号させ、被害者に知られることなく平文を入手することができてしまうという。

 この脆弱性は、Microsoft Outlookなど多数のクライアントが影響を受ける。研究チームが行ったテストでは、S/MIME電子メールクライアント35本のうちの25本、OpenPGP電子メールクライアントでは28本中10本に脆弱性が存在していることが判明。中でもApple Mail、iOS Mail、Mozilla Thunderbirdでは、暗号化されたメールの平文を直接的に抽出される恐れがあり、特に危険が大きいとしている。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.