暗号化された電子メールが読み取られるおそれ--「EFAIL」脆弱性が明らかに

Alfred Ng (CNET News) 翻訳校正: 編集部

2018-05-15 09:17

 電子メールの暗号化に脆弱性があり、ハッカーらにメッセージを読み取られるおそれがあるという。

 欧州の研究者らによって「EFAIL」と名付けられたこの脆弱性は、PGPなどの電子メール暗号化規格を破るものではないが、電子メールクライアントがHTMLコードを読み取る方法に関連する脆弱性を利用する。ハッカーらはこれを利用して、不正なHTMLタグ(外部にロードされた画像へのリンクなど)を埋め込んだ電子メールを送信することにより、PGPやS/MIMEで暗号化されたメッセージを読み取ることができると研究者らは述べている。


提供:Efail

 EFAILに関する研究者の1人で、ミュンスター応用科学大学でコンピュータセキュリティを専門とするSebastian Schinzel教授は、「現在のところ、この脆弱性に対する信頼できる修正方法はない」とTwitterで述べた。

 複数の処理を実行しなければ、この脆弱性を利用して暗号化された電子メールの内容を読み取ることはできない。しかし、この脆弱性により、PGPの頑強な鎧にほころびがあることが明らかになった。暗号化された電子メールにアクセスする手段が攻撃者にあることは間違いなく、それは犠牲となるアカウントがいずれ現れることを意味する。

 この攻撃を仕掛けるには、あらかじめ入手した暗号化された電子メールのコンテンツを、電子メールクライアントにHTMLタグだとみせかけるための巧みに操作された方法で、所有者(犠牲者)に送り返さなければならない。Appleのメールアプリや「Mozilla Thunderbird」などのクライアントは、そのコンテンツを暗号化されたメッセージではなくHTMLタグとして処理する。


提供:https://efail.de/

 「確かに多くの処理が必要で、正直に言って、危険というよりは仮定上の話にすぎない」と、セキュリティ企業TrustedSecの最高経営責任者(CEO)を務めるDave Kennedy氏は述べた。

 この攻撃は、最近のメッセージだけでなく、アーカイブ済みの暗号化された電子メールにも適用できる。

 研究者らは、PGPメッセージの解読を防ぐために、電子メールクライアントのHTMLレンダリングを無効にすることを推奨している。電子フロンティア財団(EFF)は、PGP電子メールプラグインの使用を一時的にやめて、電子メールをベースとしない「Signal」などのプラットフォームを暗号化メッセージに使用することを推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Google Chrome Enterprise が実現するゼロトラスト セキュリティの最新実情

  2. ビジネスアプリケーション

    ITSMに取り組むすべての人へ、概要からツールによる実践まで解説、「ITSMクイックスタートガイド」

  3. ビジネスアプリケーション

    業務マニュアル作成の課題を一気に解決へ─AIが実現する確認と修正だけで完了する新たなアプローチ

  4. ビジネスアプリケーション

    ITSMの手法を組織全体に拡張、エンタープライズサービス管理(ESM)がもたらすメリット

  5. セキュリティ

    身元確認は撮影方式からICチップ読取方式へ、公的個人認証(JPKI)が必要な理由とは

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]