幅広く利用されているオープンソースの暗号化技術で問題が見つかった。攻撃者は、デジタル署名あるいは暗号化の施されたメールを悪用することができるという。
問題は、特定の電子メールアプリケーションが、「GNU Privacy Guard(GnuPGもしくはGPG)」を使って署名されたメッセージを表示する方法に存在するという。GnuPGグループが米国時間3月6日に公開したセキュリティ警告で明らかにした。GnuPGの処理方法を誤ると、メッセージのどの部分に署名が施されているのか、特定できなくなる可能性があるという。
警告によると、「署名のみ、あるいは署名と暗号化の施された『OpenPGP』メッセージの前後に新たにテキストを挿入して、新しいテキストも署名の対象となっているとユーザーに思わせることができる」という。
暗号化技術を使って、電子メールを認証したり暗号化したりするユーザーにとっては、これがリスクとなる。GnuPG技術を巡っては2006年にも同様の問題が発生している。
問題を発見したCore Security Technologiesによると、複数のオープンソース電子メールクライアントが脆弱性の影響を受けるという。Coreによると、KDEの「KMail」、Novellの「Evolution」のほか、「Sylpheed」「Mutt」「GnuMail.org」などのアプリケーションが影響を受けるという。同セキュリティ調査会社によると、Mozillaのメールクライアント用のエクステンションである「Enigmail」も脆弱性の影響を受けるという。
Coreは警告で、「重要なのは、これが暗号の問題ではないことだ。ユーザーに情報を表示する際の処理方法や、サードパーティーアプリケーションとGnuPGとのやりとりで問題が発生する」と述べている。
攻撃者らはこの問題を悪用することで、一見したところ安全に見える電子メールにコンテンツを追加したり、スパム対策メカニズムのようなコンテンツフィルタリング機能を回避したりすることができると、Coreは述べている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス