【ITセキュリティ】暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性

■ このスレッドは過去ログ倉庫に格納されています
0001あられお菓子 ★2018/05/15(火) 12:04:07.76ID:CAP_USER
ITmedia エンタープライズ 2018年05月15日 08時40分 公開
http://www.itmedia.co.jp/enterprise/articles/1805/15/news062.html
「PGP」「S/MIME」に発見された脆弱性は「EFAIL」と命名された
http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp01.jpg
脆弱性が見つかったS/MIME電子メールクライアント(出典:EFAIL解説サイト)
http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp02.jpg

 電子メールの暗号化に広く使われている「PGP」「S/MIME」の両規格に、暗号化されたメッセージを
攻撃者が平文で入手できてしまう脆弱性が報告された。米電子フロンティア財団は当面の対策として、
電子メールクライアントのPGPを無効にし、別の手段に切り替えるよう勧告している。

 脆弱性はドイツのミュンスター応用科学大学などの研究チームが発見し、「EFAIL」と命名。
2018年5月13日から14日にかけて技術論文などを公開した。

 電子フロンティア財団の発表やEFAIL解説サイトによると、EFAIL攻撃ではHTMLメールなどのコンテンツを
悪用する手口で平文が抽出される恐れがある。攻撃の前提として、攻撃者はまずネットワークトラフィックの
盗聴や電子メールアカウントのハッキングといった手口を通じ、狙った相手の暗号化されたメールを
入手しておく必要がある。

 その後、脆弱性を突いて入手したメールに手を加え、被害者の電子メールクライアントに送信する手口で、
メールの内容を復号させ、被害者に知られることなく平文を入手することができてしまうという。

 この脆弱性は、Microsoft Outlookなど多数のクライアントが影響を受ける。研究チームが行った
テストでは、S/MIME電子メールクライアント35本のうちの25本、OpenPGP電子メールクライアントでは
28本中10本に脆弱性が存在していることが判明。中でもApple Mail、iOS Mail、Mozilla Thunderbirdでは、
暗号化されたメールの平文を直接的に抽出される恐れがあり、特に危険が大きいとしている。

 研究チームによると、今回の脆弱性は、ジャーナリストや政治活動家、告発者といった敵対的環境にある
ユーザーを危険にさらしかねず、国家が関与する攻撃などに利用される恐れもある。

 メーカー各社には、2017年10月から2018年3月にかけて連絡を取っているという。しかし
「それぞれのベンダーが打ち出す対策によって、攻撃を防止できるかもしれないし、できないかもしれない。
従って長期的には規格を更新して、この脆弱性の根本的な原因を修正する必要がある」と研究チームは解説する。

 短期的な緩和策としては、メールの復号を電子メールクライアントで行わず、クライアント外の
別のアプリケーションで行うことや、HTMLを無効にすることなどを挙げている。

0002名刺は切らしておりまして2018/05/15(火) 12:05:17.54ID:DreAULMo
PGPとか現役なん?

0003名刺は切らしておりまして2018/05/15(火) 12:07:05.55ID:I0W20r2i
暗号化メールを送るようなやつはSSL接続だろうし
HTMLにもしないだろう

0004名刺は切らしておりまして2018/05/15(火) 12:07:28.98ID:I0W20r2i
>>2
代わりに何使ってるん?

0005名刺は切らしておりまして2018/05/15(火) 12:14:45.29ID:MH2P5RHu
へ、平文…

0006名刺は切らしておりまして2018/05/15(火) 12:19:35.23ID:HKnucIFE
脆弱性が読めない
http://9ch.net/XT

0007名刺は切らしておりまして2018/05/15(火) 12:46:02.13ID:H7HdKZYK
>>6
軟弱者!

0008名刺は切らしておりまして2018/05/15(火) 12:50:48.48ID:h8w2kF+2
メール暗号化の脆弱性以前に
最初のメールのハッキングか盗聴の時点でダメなんじゃないの

0009名刺は切らしておりまして2018/05/15(火) 13:43:35.19ID:aKS1bVs9
六四天安門事件(切断

0010名刺は切らしておりまして2018/05/15(火) 14:41:37.64ID:XTm7Fkmp
電子メールクライアントって「本」で数えるってはじめて知ったわ

0011名刺は切らしておりまして2018/05/15(火) 14:44:50.09ID:FPAwop5D
スノーデンさんもびっくり?

0012名刺は切らしておりまして2018/05/15(火) 15:04:01.88ID:Q0Vs+bN8
そもそも読まれて困ることをメールで送るなよ。

0013名刺は切らしておりまして2018/05/15(火) 15:32:22.86ID:1ifc7u4F
ヘイモン!!

0014名刺は切らしておりまして2018/05/15(火) 17:33:15.50ID:veZ4RoN/
>>3
それサーバとクライアントの接続の話だから。

0015名刺は切らしておりまして2018/05/15(火) 21:08:12.49ID:ua2Rea9k
SMTP over SSL
POP over SSL
使っとけばいい話やん。これで第1段階の盗聴は防げる。

それにしてもS/MIMEに対応してないせいか、リクナビから来るメールを
GMAILで受信すると赤い割れた南京錠が表示される。
リクナビのサーバー管理者クソやわ

おまけに最近添付ファイルをZIP暗号化して、別メールでパスワードを送ってくるようになった。
ほんまアホや
その点アマゾンから来るメールはしっかり暗号化されている。

0016名刺は切らしておりまして2018/05/15(火) 21:08:46.30ID:a3pDxCpw
多分>>3はメール配信の仕組みを知らない

0017名刺は切らしておりまして2018/05/15(火) 21:17:38.59ID:a3pDxCpw
MUA <-> MTA <-> MTA <-> … <-> MTA <-> MUA

でMUAとMTA間はSSL/TLSで防げるがMTA間の通信がどうなってるかは保証がない
MTA間で盗聴された場合に内容の秘匿性を担保するのがPGPとかS/MIMEだが脆弱のあるMUA実装で復号したメッセージが漏出し得るのが今回の脆弱性

0018名刺は切らしておりまして2018/05/15(火) 21:35:09.94ID:EaBcpFWa
>>16
よく分からんが、HTMLメールなどのコンテンツを悪用する手口、とあるし、狙った相手の暗号化されたメールの入手が前提、とあるので、on SSLでASCIIだけのメール、ってのはあながち間違いじゃない気が。

0019名刺は切らしておりまして2018/05/15(火) 22:00:21.18ID:uY5qBruL
heartbeatでheartbleed
speculative executionでspectre
emailでefail

よく考えるねぇ

0020名刺は切らしておりまして2018/05/15(火) 22:20:17.06ID:wrXqXkl6
RSA2048bit/AESどころかRSA1024bit/DESさえ使われてなかったとは!

0021名刺は切らしておりまして2018/05/16(水) 05:33:00.51ID:8bvSz9+u
クライアント端末のIP知られたらアウトって話かな?
メールはそこらじゅう行きかってるからどっかで網張れば捕まえられそうだし

0022名刺は切らしておりまして2018/05/16(水) 08:19:18.93ID:9L5FDysx
楽天や apple、アマゾン、マイクロソフト、その他有名メーカーの名前を騙ったメールを html 形式で表示させる事でパソコンやスマホ、タブレットをウイルス感染させようという事例が今年に入って激増しています

メールの html 表示は、OS やアンチウイルスソフトが対策を行っても新しい手法が日々発見されるためいつまでもいたちごっこ状態が続き、常にウイルスに感染する危険があります。

そのため、複数のセキュリティメーカーや専門家は「アンチウイルスソフトを入れた状態でもメールは今後 html 形式では表示しないように。」と緊急の警告を発して話題になっています。


・「リンクをクリックしなくても html 表示した段階でウイルスに感染してしまう」と専門家は警告


今年に入って楽天やアマゾン、apple を騙る偽メールが急増しており、それらの多くがhtml 形式のメールとなっています。

twitter やブログでは「楽天や apple、その他のメーカーを騙った偽メールが来ても、メール内のリンクを開かなければ安全」と間違った情報を発しているユーザーも多数います。

しかし、実際はメールを html 表示した段階で、最新のアンチウイルスソフトを入れた状態でもウイルス感染する場合があるため、
セキュリティの専門家達は「メールは html 形式では表示しないように。自分はもちろん知り合いや家族にその事を呼びかけるように」と警告を出しています。

0023名刺は切らしておりまして2018/05/16(水) 09:06:59.96ID:9nc4L28C
あ、違った勘違い。メールサーバ経由で受信させればいいからメルアドでOKか
パケ捕まえられたらHTML禁止など自衛手段取ってない限りほぼ回避不能だなw

■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★
Donguri System Team