GnuPGは暗号化技術「Pretty Good Privacy」に代わる無償のオープンソースソフトウェア。複数のセクションから成り立つ電子メールのすべてに署名や暗号化が施されているわけではなくても、電子メールプログラムがこれを正しく解釈せず、メッセージの100%が安全だと判定してしまうことがある。
SANS Internet Storm CenterのスタッフArrigo Triulzi氏は同組織のブログに、「メッセージ全体が暗号化され、署名が付いていることを示すアイコンが表示されているのに、実際にはテキスト、画像、バイナリなどの一部の内容が安全でない場合がある」と書いている。
GnuPGグループでは、署名付きあるいは暗号化されたメッセージの悪用を防ぐアップデートを公開した。だが、署名付きメッセージを正しく表示するには、GPGをアップデートした上で、電子メールアプリケーションもアップグレードされなくてはならないという。
GnuPGの警告には、「これらのパッチを適用すると、脆弱性をもつ一部のアプリケーションで特定のメッセージを処理できなくなる場合がある。そのような場合、GnuPGとしては何もできないのだが、そのアプリケーションに修正を加える必要がある」と書かれている。
Enigmailは既にアップデートを提供し始めている。
Coreはさらに、ユーザーが悪用を検知し、防ぐための回避策も公開した。不審な署名付きメッセージがあった場合は、コマンドラインからGnuPGを起動して手動で署名の有効性を確認できるほか、「--status-fd」という特殊なオプションを追加すれば詳細な情報も得られると、Coreは述べている。
この記事は海外CNET Networks発のニュースを編集部が日本向けに編集したものです。海外CNET Networksの記事へ
