メルマガ購読
4月19日、独立行政法人情報処理推進機構(IPA)は、電子メールで一般的な認証パスワードの暗号が解読される危険性について「情報セキュリティ早期警戒パートナーシップ」に基づき注意喚起を行った。
一般的な電子メールプロトコルでは、本人確認のためにメールアカウントとパスワードによる認証を行うが、このパスワードが盗まれないように、APOPという認証プロトコルでは、MD5という暗号化処理を施している。このMD5の安全性については、以前から専門家や研究者が問題点を指摘していたが、一般的には長期間の盗聴による暗号文字列の収集が必要であることと、メールプロトコル自体、パスワードを解読しなくてもメール本文の盗聴や改ざんが可能なことから、これまで現実的な危険として取り上げられることは少なかった。
今回の注意喚起は、経済産業省の告示に基づきIPAなどが推進している「情報セキュリティ早期警戒パートナーシップ」に基づき、研究者らの報告を受けて、企業などへの情報提供や共有をより確実にするために行われたものだ。したがって、APOPの危険性が急激に高まった、あるいは画期的な暗号解読方法が発見されたというものではない。すでに、メール本文の暗号化をSSLで行っていたり、APOP以外の認証方法、POP3以外のプロトコルを利用しているメールサーバ(とそのユーザ)には直接の影響は少ない。
対策としては、APOPを使っていてもパスワードを定期的に変更したり、メール本文の暗号化、電子署名の活用など一般的なセキュリティ対策が基本となる。IPAとしても、メールのパスワードが漏れることと、メール本文が盗聴されることには技術的な関連ないため、同じ文字列を他のパスワードにも使っていることで発生する被害について警告している。
APOPメールパスワード漏洩の脆弱性をIPAが注意喚起
2007年4月19日(木) 12時06分
4月19日、独立行政法人情報処理推進機構(IPA)は、電子メールで一般的な認証パスワードの暗号が解読される危険性について「情報セキュリティ早期警戒パートナーシップ」に基づき注意喚起を行った。
4月19日、独立行政法人情報処理推進機構(IPA)は、電子メールで一般的な認証パスワードの暗号が解読される危険性について「情報セキュリティ早期警戒パートナーシップ」に基づき注意喚起を行った。
《中尾真二》
注目ニュース
米ソニックウォールは6日、メールセキュリティに特化し、画像アーカイブ機能を備えたアプライアンス製品「SonicWALL Email Security 5.0」を発表した。日本国内では3月末より販売が...
トレンドマイクロは、企業向けスパムメール対策ソリューション「Trend Micro Spam Prevention Solution」(以下、SPS)の発売を2007年3月5日より開始した。
センドメールとクラスキャットは19日、安全なメール環境を構築するのに不可欠なスパムフィルタリング、サブミッションポートなどの設定機能を統合し、導入・運用管理が容易なLinuxベースのアプライアンス製...
ミラポイントは16日、2009年3月期の本決算から適応される、いわゆる日本版SOX法への対応に向け、Eメールやインスタントメッセージの内容をアーカイブするためのアプライアンス(専用)サーバー「Mir...
アイアンポートシステムズは8月9日、六本木アカデミーヒルズ49において記者発表会を行った。同社は、アンチスパム対策など電子メールを対象にしたセキュリティアプライアンス製品の開発・販売などを手がけるセ...
