| 本資料は、JVNで公表した「JVN#19445002:
APOP におけるパスワード漏えいの脆弱性」について解説するものです。 |
概要:
APOP は、メールサーバからメールを受信するプロトコルである
POP3(Post Office Protocol-Version 3) で使用できる認証方式の一つです。この APOP 方式では、メールの受信に利用するパスワードを、通信路上で秘匿して取り扱うため、本来であれば、通信を盗聴されてもパスワードが漏えいすることはありません。
APOP 方式に、MD5 ハッシュ衝突に基づく攻撃手法が発見されました。このため、ユーザがなりすましたメールサーバに誘導された場合、メールの受信に利用するパスワードが解読され、漏えいする可能性があります。
影響:
メールの受信に利用しているパスワードが、SSH
やウェブサイトへのログインに利用しているパスワードと同一の場合、解読されたパスワードが不正なログインに悪用される可能性があります。
対策:
プロトコル上の問題箇所であり、現時点で根本的な対策方法はありません。根本的に対策するためには、POP3
プロトコルの APOP 方式自体を修正する必要があります。
本脆弱性の影響を回避するには、POP
over SSL やウェブメールなど、SSL による暗号化通信を利用することです。また、暗号化通信の利用が難しい場合、メールの受信に利用するパスワードを他のシステムと共用しないことで悪用された際の被害を軽減できます。
対策方法等の最新情報は、JVN#19445002
を参照してください。
本脆弱性の深刻度:
(1)評価結果
| 本脆弱性の深刻度 |
□
I(注意) |
■
II(警告) |
□
III(危険) |
| 本脆弱性のCVSS基本値 |
|
5.4 |
|
(2)CVSS基本値の評価内容
| 注)・ |
■:選択した評価結果 |
| ・ |
AV:AccessVector, AC:AccessComplexity, Au:Authentication,
C:ConfidentialityImpact, I:IntegrityImpact, A:AvailabilityImpact |
(3)注意事項
深刻度が低くても、対策をしなくてよいということではありません。本ソフトウェアの利用者は必ず脆弱性対策を実施して下さい。
更新履歴
| 2007年8月20日 |
脆弱性の深刻度評価をCVSS v2へ移行 |
| 2007年4月19日 |
掲載 |
| 
English