PR

 情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)は2007年4月19日、メールの受信に使われる「APOP」と呼ばれる方式(プロトコル)に存在するセキュリティ上の弱点(ぜい弱性)を注意喚起した。メールソフトとメールサーバー間の通信を盗聴されると、パスワードを盗まれる恐れがある。

 APOPとは、一般的に利用されている「POP3」というメール受信方式のセキュリティを強化したもの。POP3では、メールソフトからメールサーバーへ、ユーザーIDとパスワードがそのまま(生のテキストで)送信される。このため、メールソフトとメールサーバー間の通信を盗聴されると、パスワードを盗み見されてしまう。

 これを防止するために開発されたのがAPOPである。APOPでは、ある処理を施してからパスワードなどを送信するため、通信を盗聴されてもパスワードを盗まれないとされていた。しかしながら、この処理に弱点が見つかったため、通信を盗聴されると、POP3と同じようにパスワードを盗まれる可能性がある。

 IPAによれば、この弱点は研究者などの間では既に知られているものではあるが、一般のユーザーへの影響を考慮して、今回注意喚起したという。

 今回の問題は、メールの受信方式に関するものなので、現時点では根本的な解決方法はない。IPAでは、メールの受信にSSLによる暗号化通信(POP over SSLやWebメール)を利用することを回避策として挙げている。また、パスワードが漏れた場合の被害を軽減するために、メールのパスワードと、ほかのシステムで使っているパスワードを同じものにしないことも勧めている。

 APOPに対応している主なメールソフトには、「Thunderbird」「Becky! Internet Mail」「Eudora」「AL-Mail32」「Netscape」などがある。標準設定ではPOP3が使われるので、ユーザーが明示的に設定しない限り、APOPは利用されない。