暗号化された電子メールが読み取られるおそれ--「EFAIL」脆弱性が明らかに

Alfred Ng (CNET News) 翻訳校正: 編集部

2018-05-15 09:17

 電子メールの暗号化に脆弱性があり、ハッカーらにメッセージを読み取られるおそれがあるという。

 欧州の研究者らによって「EFAIL」と名付けられたこの脆弱性は、PGPなどの電子メール暗号化規格を破るものではないが、電子メールクライアントがHTMLコードを読み取る方法に関連する脆弱性を利用する。ハッカーらはこれを利用して、不正なHTMLタグ(外部にロードされた画像へのリンクなど)を埋め込んだ電子メールを送信することにより、PGPやS/MIMEで暗号化されたメッセージを読み取ることができると研究者らは述べている。


提供:Efail

 EFAILに関する研究者の1人で、ミュンスター応用科学大学でコンピュータセキュリティを専門とするSebastian Schinzel教授は、「現在のところ、この脆弱性に対する信頼できる修正方法はない」とTwitterで述べた。

 複数の処理を実行しなければ、この脆弱性を利用して暗号化された電子メールの内容を読み取ることはできない。しかし、この脆弱性により、PGPの頑強な鎧にほころびがあることが明らかになった。暗号化された電子メールにアクセスする手段が攻撃者にあることは間違いなく、それは犠牲となるアカウントがいずれ現れることを意味する。

 この攻撃を仕掛けるには、あらかじめ入手した暗号化された電子メールのコンテンツを、電子メールクライアントにHTMLタグだとみせかけるための巧みに操作された方法で、所有者(犠牲者)に送り返さなければならない。Appleのメールアプリや「Mozilla Thunderbird」などのクライアントは、そのコンテンツを暗号化されたメッセージではなくHTMLタグとして処理する。


提供:https://efail.de/

 「確かに多くの処理が必要で、正直に言って、危険というよりは仮定上の話にすぎない」と、セキュリティ企業TrustedSecの最高経営責任者(CEO)を務めるDave Kennedy氏は述べた。

 この攻撃は、最近のメッセージだけでなく、アーカイブ済みの暗号化された電子メールにも適用できる。

 研究者らは、PGPメッセージの解読を防ぐために、電子メールクライアントのHTMLレンダリングを無効にすることを推奨している。電子フロンティア財団(EFF)は、PGP電子メールプラグインの使用を一時的にやめて、電子メールをベースとしない「Signal」などのプラットフォームを暗号化メッセージに使用することを推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]