【ITセキュリティ】暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性
■ このスレッドは過去ログ倉庫に格納されています
ITmedia エンタープライズ 2018年05月15日 08時40分 公開 http://www.itmedia.co.jp/enterprise/articles/1805/15/news062.html 「PGP」「S/MIME」に発見された脆弱性は「EFAIL」と命名された http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp01.jpg 脆弱性が見つかったS/MIME電子メールクライアント(出典:EFAIL解説サイト) http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp02.jpg 電子メールの暗号化に広く使われている「PGP」「S/MIME」の両規格に、暗号化されたメッセージを 攻撃者が平文で入手できてしまう脆弱性が報告された。米電子フロンティア財団は当面の対策として、 電子メールクライアントのPGPを無効にし、別の手段に切り替えるよう勧告している。 脆弱性はドイツのミュンスター応用科学大学などの研究チームが発見し、「EFAIL」と命名。 2018年5月13日から14日にかけて技術論文などを公開した。 電子フロンティア財団の発表やEFAIL解説サイトによると、EFAIL攻撃ではHTMLメールなどのコンテンツを 悪用する手口で平文が抽出される恐れがある。攻撃の前提として、攻撃者はまずネットワークトラフィックの 盗聴や電子メールアカウントのハッキングといった手口を通じ、狙った相手の暗号化されたメールを 入手しておく必要がある。 その後、脆弱性を突いて入手したメールに手を加え、被害者の電子メールクライアントに送信する手口で、 メールの内容を復号させ、被害者に知られることなく平文を入手することができてしまうという。 この脆弱性は、Microsoft Outlookなど多数のクライアントが影響を受ける。研究チームが行った テストでは、S/MIME電子メールクライアント35本のうちの25本、OpenPGP電子メールクライアントでは 28本中10本に脆弱性が存在していることが判明。中でもApple Mail、iOS Mail、Mozilla Thunderbirdでは、 暗号化されたメールの平文を直接的に抽出される恐れがあり、特に危険が大きいとしている。 研究チームによると、今回の脆弱性は、ジャーナリストや政治活動家、告発者といった敵対的環境にある ユーザーを危険にさらしかねず、国家が関与する攻撃などに利用される恐れもある。 メーカー各社には、2017年10月から2018年3月にかけて連絡を取っているという。しかし 「それぞれのベンダーが打ち出す対策によって、攻撃を防止できるかもしれないし、できないかもしれない。 従って長期的には規格を更新して、この脆弱性の根本的な原因を修正する必要がある」と研究チームは解説する。 短期的な緩和策としては、メールの復号を電子メールクライアントで行わず、クライアント外の 別のアプリケーションで行うことや、HTMLを無効にすることなどを挙げている。 暗号化メールを送るようなやつはSSL接続だろうし HTMLにもしないだろう メール暗号化の脆弱性以前に 最初のメールのハッキングか盗聴の時点でダメなんじゃないの 電子メールクライアントって「本」で数えるってはじめて知ったわ >>3 それサーバとクライアントの接続の話だから。 SMTP over SSL POP over SSL 使っとけばいい話やん。これで第1段階の盗聴は防げる。 それにしてもS/MIMEに対応してないせいか、リクナビから来るメールを GMAILで受信すると赤い割れた南京錠が表示される。 リクナビのサーバー管理者クソやわ おまけに最近添付ファイルをZIP暗号化して、別メールでパスワードを送ってくるようになった。 ほんまアホや その点アマゾンから来るメールはしっかり暗号化されている。 MUA <-> MTA <-> MTA <-> … <-> MTA <-> MUA でMUAとMTA間はSSL/TLSで防げるがMTA間の通信がどうなってるかは保証がない MTA間で盗聴された場合に内容の秘匿性を担保するのがPGPとかS/MIMEだが脆弱のあるMUA実装で復号したメッセージが漏出し得るのが今回の脆弱性 >>16 よく分からんが、HTMLメールなどのコンテンツを悪用する手口、とあるし、狙った相手の暗号化されたメールの入手が前提、とあるので、on SSLでASCIIだけのメール、ってのはあながち間違いじゃない気が。 heartbeatでheartbleed speculative executionでspectre emailでefail よく考えるねぇ RSA2048bit/AESどころかRSA1024bit/DESさえ使われてなかったとは! クライアント端末のIP知られたらアウトって話かな? メールはそこらじゅう行きかってるからどっかで網張れば捕まえられそうだし 楽天や apple、アマゾン、マイクロソフト、その他有名メーカーの名前を騙ったメールを html 形式で表示させる事でパソコンやスマホ、タブレットをウイルス感染させようという事例が今年に入って激増しています メールの html 表示は、OS やアンチウイルスソフトが対策を行っても新しい手法が日々発見されるためいつまでもいたちごっこ状態が続き、常にウイルスに感染する危険があります。 そのため、複数のセキュリティメーカーや専門家は「アンチウイルスソフトを入れた状態でもメールは今後 html 形式では表示しないように。」と緊急の警告を発して話題になっています。 ・「リンクをクリックしなくても html 表示した段階でウイルスに感染してしまう」と専門家は警告 今年に入って楽天やアマゾン、apple を騙る偽メールが急増しており、それらの多くがhtml 形式のメールとなっています。 twitter やブログでは「楽天や apple、その他のメーカーを騙った偽メールが来ても、メール内のリンクを開かなければ安全」と間違った情報を発しているユーザーも多数います。 しかし、実際はメールを html 表示した段階で、最新のアンチウイルスソフトを入れた状態でもウイルス感染する場合があるため、 セキュリティの専門家達は「メールは html 形式では表示しないように。自分はもちろん知り合いや家族にその事を呼びかけるように」と警告を出しています。 あ、違った勘違い。メールサーバ経由で受信させればいいからメルアドでOKか パケ捕まえられたらHTML禁止など自衛手段取ってない限りほぼ回避不能だなw ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる