ITmedia エンタープライズ 2018年05月15日 08時40分 公開
http://www.itmedia.co.jp/enterprise/articles/1805/15/news062.html
「PGP」「S/MIME」に発見された脆弱性は「EFAIL」と命名された
http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp01.jpg
脆弱性が見つかったS/MIME電子メールクライアント(出典:EFAIL解説サイト)
http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp02.jpg
電子メールの暗号化に広く使われている「PGP」「S/MIME」の両規格に、暗号化されたメッセージを
攻撃者が平文で入手できてしまう脆弱性が報告された。米電子フロンティア財団は当面の対策として、
電子メールクライアントのPGPを無効にし、別の手段に切り替えるよう勧告している。
脆弱性はドイツのミュンスター応用科学大学などの研究チームが発見し、「EFAIL」と命名。
2018年5月13日から14日にかけて技術論文などを公開した。
電子フロンティア財団の発表やEFAIL解説サイトによると、EFAIL攻撃ではHTMLメールなどのコンテンツを
悪用する手口で平文が抽出される恐れがある。攻撃の前提として、攻撃者はまずネットワークトラフィックの
盗聴や電子メールアカウントのハッキングといった手口を通じ、狙った相手の暗号化されたメールを
入手しておく必要がある。
その後、脆弱性を突いて入手したメールに手を加え、被害者の電子メールクライアントに送信する手口で、
メールの内容を復号させ、被害者に知られることなく平文を入手することができてしまうという。
この脆弱性は、Microsoft Outlookなど多数のクライアントが影響を受ける。研究チームが行った
テストでは、S/MIME電子メールクライアント35本のうちの25本、OpenPGP電子メールクライアントでは
28本中10本に脆弱性が存在していることが判明。中でもApple Mail、iOS Mail、Mozilla Thunderbirdでは、
暗号化されたメールの平文を直接的に抽出される恐れがあり、特に危険が大きいとしている。
研究チームによると、今回の脆弱性は、ジャーナリストや政治活動家、告発者といった敵対的環境にある
ユーザーを危険にさらしかねず、国家が関与する攻撃などに利用される恐れもある。
メーカー各社には、2017年10月から2018年3月にかけて連絡を取っているという。しかし
「それぞれのベンダーが打ち出す対策によって、攻撃を防止できるかもしれないし、できないかもしれない。
従って長期的には規格を更新して、この脆弱性の根本的な原因を修正する必要がある」と研究チームは解説する。
短期的な緩和策としては、メールの復号を電子メールクライアントで行わず、クライアント外の
別のアプリケーションで行うことや、HTMLを無効にすることなどを挙げている。
http://www.itmedia.co.jp/enterprise/articles/1805/15/news062.html
「PGP」「S/MIME」に発見された脆弱性は「EFAIL」と命名された
http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp01.jpg
脆弱性が見つかったS/MIME電子メールクライアント(出典:EFAIL解説サイト)
http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp02.jpg
電子メールの暗号化に広く使われている「PGP」「S/MIME」の両規格に、暗号化されたメッセージを
攻撃者が平文で入手できてしまう脆弱性が報告された。米電子フロンティア財団は当面の対策として、
電子メールクライアントのPGPを無効にし、別の手段に切り替えるよう勧告している。
脆弱性はドイツのミュンスター応用科学大学などの研究チームが発見し、「EFAIL」と命名。
2018年5月13日から14日にかけて技術論文などを公開した。
電子フロンティア財団の発表やEFAIL解説サイトによると、EFAIL攻撃ではHTMLメールなどのコンテンツを
悪用する手口で平文が抽出される恐れがある。攻撃の前提として、攻撃者はまずネットワークトラフィックの
盗聴や電子メールアカウントのハッキングといった手口を通じ、狙った相手の暗号化されたメールを
入手しておく必要がある。
その後、脆弱性を突いて入手したメールに手を加え、被害者の電子メールクライアントに送信する手口で、
メールの内容を復号させ、被害者に知られることなく平文を入手することができてしまうという。
この脆弱性は、Microsoft Outlookなど多数のクライアントが影響を受ける。研究チームが行った
テストでは、S/MIME電子メールクライアント35本のうちの25本、OpenPGP電子メールクライアントでは
28本中10本に脆弱性が存在していることが判明。中でもApple Mail、iOS Mail、Mozilla Thunderbirdでは、
暗号化されたメールの平文を直接的に抽出される恐れがあり、特に危険が大きいとしている。
研究チームによると、今回の脆弱性は、ジャーナリストや政治活動家、告発者といった敵対的環境にある
ユーザーを危険にさらしかねず、国家が関与する攻撃などに利用される恐れもある。
メーカー各社には、2017年10月から2018年3月にかけて連絡を取っているという。しかし
「それぞれのベンダーが打ち出す対策によって、攻撃を防止できるかもしれないし、できないかもしれない。
従って長期的には規格を更新して、この脆弱性の根本的な原因を修正する必要がある」と研究チームは解説する。
短期的な緩和策としては、メールの復号を電子メールクライアントで行わず、クライアント外の
別のアプリケーションで行うことや、HTMLを無効にすることなどを挙げている。