オープンソースの暗号化ソフト「GNU Privacy Guard」に脆弱性

文:Joris Evers(CNET News.com) 翻訳校正:編集部2007年03月08日 11時09分

 幅広く利用されているオープンソースの暗号化技術で問題が見つかった。攻撃者は、デジタル署名あるいは暗号化の施されたメールを悪用することができるという。

 問題は、特定の電子メールアプリケーションが、「GNU Privacy Guard(GnuPGもしくはGPG)」を使って署名されたメッセージを表示する方法に存在するという。GnuPGグループが米国時間3月6日に公開したセキュリティ警告で明らかにした。GnuPGの処理方法を誤ると、メッセージのどの部分に署名が施されているのか、特定できなくなる可能性があるという。

 警告によると、「署名のみ、あるいは署名と暗号化の施された『OpenPGP』メッセージの前後に新たにテキストを挿入して、新しいテキストも署名の対象となっているとユーザーに思わせることができる」という。

 暗号化技術を使って、電子メールを認証したり暗号化したりするユーザーにとっては、これがリスクとなる。GnuPG技術を巡っては2006年にも同様の問題が発生している。

 問題を発見したCore Security Technologiesによると、複数のオープンソース電子メールクライアントが脆弱性の影響を受けるという。Coreによると、KDEの「KMail」、Novellの「Evolution」のほか、「Sylpheed」「Mutt」「GnuMail.org」などのアプリケーションが影響を受けるという。同セキュリティ調査会社によると、Mozillaのメールクライアント用のエクステンションである「Enigmail」も脆弱性の影響を受けるという。

 Coreは警告で、「重要なのは、これが暗号の問題ではないことだ。ユーザーに情報を表示する際の処理方法や、サードパーティーアプリケーションとGnuPGとのやりとりで問題が発生する」と述べている。

 攻撃者らはこの問題を悪用することで、一見したところ安全に見える電子メールにコンテンツを追加したり、スパム対策メカニズムのようなコンテンツフィルタリング機能を回避したりすることができると、Coreは述べている。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]