最終更新日 2007年11月26日
独立行政法人 情報処理推進機構
セキュリティセンター
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、メールの受信に利用される認証方式の一つであるAPOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を2007年4月19日に公表しました。
具体的には、APOP方式にはパスワードが漏えいする脆弱性があるというものです。悪用されると、メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワードと同一の場合、不正なログインに利用される可能性があります。
プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。
回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。
1.概要
電子メールをユーザがメールサーバから取り出す際には、一般的にPOP3(Post Office Protocol-Version 3)というプロトコル(通信手順)が使用されています。当初のPOP3プロトコルでは、インターネット上をパスワードが平文で流れていました。そこで、パスワード漏洩を防止するために、APOP方式が考案されました。
メールクライアントソフトの中には、APOP方式をサポートするものがあります。パスワードを保護したい利用者は、メールクライアントソフトで設定を行うことでAPOP方式を利用できます。このAPOP方式では、パスワードを隠した状態で取り扱うため、本来であれば、通信を盗聴されてもパスワードは漏洩しません。
ところが、APOP方式には、プロトコル上の弱点があり、パスワードが漏洩する可能性があります。
このAPOP方式の問題はMD5ハッシュ方式の問題がもととなっており、今回の問題が発見されたことは暗号学の国際会議で既に発表されているため、研究者の間で問題点の所在は周知のものとなっています。しかし、プロトコル上の問題であるため解決に時間がかかります。そのため、メールクライアントソフトの利用者への影響を考慮し、今回注意喚起として公表するものです。
最新情報は、下記のURLを参照して下さい。
http://jvndb.jvn.jp/contents/ja/2007/JVNDB-2007-000295.html
2.セキュリティ上の弱点の影響
メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワードと同一の場合、不正なログインに悪用される可能性があります。
3.対策方法
プロトコル上の問題であり、現時点で根本的な対策方法はありません。根本的に対策するためにはPOP3プロトコルのAPOP方式自体を修正する必要があります。
回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。
回避方法が取れない場合、パスワードが漏洩した際にSSHなど他のシステムに影響しないように「メールのパスワードを他のシステムと同一にしない」ことにより、脆弱性が悪用された場合の被害を軽減できます。
4.参考情報
(1)「情報セキュリティ早期警戒パートナーシップ」について
ソフトウェア製品開発者及びウェブサイト運営者による脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン)に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています(付録Aの図A-1参照)。
最新の届出状況は、 「脆弱性関連情報に関する届出状況(プレスリリース)」を参照下さい。
付録A
「情報セキュリティ早期警戒パートナーシップ」(脆弱性関連情報取扱いの枠組み)
図A-1.「情報セキュリティ早期警戒パートナーシップ」の基本枠組み
お問い合わせ先
- 独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)
- TEL:03-5978-7527 FAX:03-5978-7518
E-mail:
更新履歴
| 2007年11月26日 | 最新情報のURLを、JVN iPediaへのリンクに修正しました。 |
|---|---|
| 2007年 4月19日 | 概要の文言を微修正 |
| 2007年 4月19日 | 掲載 |
