IPA、APOP方式によるセキュリティー上の弱点(脆弱性)に関して注意を喚起
APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原武平太)は、メールの受信に利用される認証方式の一つであるAPOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を本日公表しました。(URL:http://www.ipa.go.jp/security/vuln/200704_APOP.html)
具体的には、APOP方式にはパスワードが漏えいする脆弱性があるというものです。悪用されると、メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワードと同一の場合、不正なログインに利用される可能性があります。
プロトコル(通信手順)上の問題であり、現時点で根本的な対策方法はありません。
回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。
1.概要
電子メールをユーザがメールサーバから取り出す際には、一般的にPOP3(Post Office Protocol-Version 3)というプロトコル(通信手順)が使用されています。当初のPOP3プロトコルでは、インターネット上をパスワードが平文で流れていました。そこで、パスワード漏洩を防止するために、APOP方式が考案されました。
メールクライアントソフトの中には、APOP方式をサポートするものがあります。パスワードを保護したい利用者は、メールクライアントソフトで設定を行うことでAPOP方式を利用できます。このAPOP方式では、パスワードを隠した状態で取り扱うため、本来であれば、通信を盗聴されてもパスワードは漏洩しません。
ところが、APOP方式には、プロトコル上の弱点があり、パスワードが漏洩する可能性があります。
このAPOP方式の問題はMD5ハッシュ方式の問題が元となっており、暗号学の国際会議で概要が発表されているため、研究者の間では既に周知のものとなっています。しかし、プロトコル上の問題であるため解決に時間がかかります。そのため、メールクライアントソフトの利用者への影響を考慮し、今回注意喚起として公表するものです。
最新情報は、下記のURLを参照して下さい。
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_19445002.html
*参考図あり。
2.セキュリティ上の弱点による影響
メールの受信に利用しているパスワードが、SSHやウェブサイトへのログインに利用しているパスワードと同一の場合、不正なログインに悪用される可能性があります。
3.対策方法
プロトコル上の問題であり、現時点で根本的な対策方法はありません。根本的に対策するためにはPOP3プロトコルのAPOP方式自体を修正する必要があります。
回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。
回避方法が取れない場合、パスワードが漏洩した際にSSHなど他のシステムに影響しないように「メールのパスワードを他のシステムと同一にしない」ことにより、脆弱性が悪用された場合の被害を軽減できます。
4.参考情報
(1)「情報セキュリティ早期警戒パートナーシップ」について
ソフトウェア製品開発者及びウェブサイト運営者による脆弱性対策を促進し、コンピュータウイルスやコンピュータ不正アクセス等によって、不特定多数のコンピュータ(パソコン)に対して引き起こされる被害を予防するため、経済産業省の告示に基づき、官民の連携体制「情報セキュリティ早期警戒パートナーシップ」を整備し運用しています(付録Aの図A-1参照)。
*添付資料あり。