オープンソースの暗号化ソフト「GNU Privacy Guard」に脆弱性

　幅広く利用されているオープンソースの暗号化技術で問題が見つかった。攻撃者は、デジタル署名あるいは暗号化の施されたメールを悪用することができるという。

　問題は、特定の電子メールアプリケーションが、「GNU Privacy Guard（GnuPGもしくはGPG）」を使って署名されたメッセージを表示する方法に存在するという。GnuPGグループが米国時間3月6日に公開したセキュリティ警告で明らかにした。GnuPGの処理方法を誤ると、メッセージのどの部分に署名が施されているのか、特定できなくなる可能性があるという。

　警告によると、「署名のみ、あるいは署名と暗号化の施された『OpenPGP』メッセージの前後に新たにテキストを挿入して、新しいテキストも署名の対象となっているとユーザーに思わせることができる」という。

　暗号化技術を使って、電子メールを認証したり暗号化したりするユーザーにとっては、これがリスクとなる。GnuPG技術を巡っては2006年にも同様の問題が発生している。

　問題を発見したCore Security Technologiesによると、複数のオープンソース電子メールクライアントが脆弱性の影響を受けるという。Coreによると、KDEの「KMail」、Novellの「Evolution」のほか、「Sylpheed」「Mutt」「GnuMail.org」などのアプリケーションが影響を受けるという。同セキュリティ調査会社によると、Mozillaのメールクライアント用のエクステンションである「Enigmail」も脆弱性の影響を受けるという。

　Coreは警告で、「重要なのは、これが暗号の問題ではないことだ。ユーザーに情報を表示する際の処理方法や、サードパーティーアプリケーションとGnuPGとのやりとりで問題が発生する」と述べている。

　攻撃者らはこの問題を悪用することで、一見したところ安全に見える電子メールにコンテンツを追加したり、スパム対策メカニズムのようなコンテンツフィルタリング機能を回避したりすることができると、Coreは述べている。