logo

暗号化された電子メールが読み取られるおそれ--「EFAIL」脆弱性が明らかに

Alfred Ng (CNET News) 翻訳校正: 編集部2018年05月15日 09時17分
  • このエントリーをはてなブックマークに追加

 電子メールの暗号化に脆弱性があり、ハッカーらにメッセージを読み取られるおそれがあるという。

 欧州の研究者らによって「EFAIL」と名付けられたこの脆弱性は、PGPなどの電子メール暗号化規格を破るものではないが、電子メールクライアントがHTMLコードを読み取る方法に関連する脆弱性を利用する。ハッカーらはこれを利用して、不正なHTMLタグ(外部にロードされた画像へのリンクなど)を埋め込んだ電子メールを送信することにより、PGPやS/MIMEで暗号化されたメッセージを読み取ることができると研究者らは述べている。


提供:Efail

 EFAILに関する研究者の1人で、ミュンスター応用科学大学でコンピュータセキュリティを専門とするSebastian Schinzel教授は、「現在のところ、この脆弱性に対する信頼できる修正方法はない」とTwitterで述べた。

 複数の処理を実行しなければ、この脆弱性を利用して暗号化された電子メールの内容を読み取ることはできない。しかし、この脆弱性により、PGPの頑強な鎧にほころびがあることが明らかになった。暗号化された電子メールにアクセスする手段が攻撃者にあることは間違いなく、それは犠牲となるアカウントがいずれ現れることを意味する。

 この攻撃を仕掛けるには、あらかじめ入手した暗号化された電子メールのコンテンツを、電子メールクライアントにHTMLタグだとみせかけるための巧みに操作された方法で、所有者(犠牲者)に送り返さなければならない。Appleのメールアプリや「Mozilla Thunderbird」などのクライアントは、そのコンテンツを暗号化されたメッセージではなくHTMLタグとして処理する。


提供:https://efail.de/

 「確かに多くの処理が必要で、正直に言って、危険というよりは仮定上の話にすぎない」と、セキュリティ企業TrustedSecの最高経営責任者(CEO)を務めるDave Kennedy氏は述べた。

 この攻撃は、最近のメッセージだけでなく、アーカイブ済みの暗号化された電子メールにも適用できる。

 研究者らは、PGPメッセージの解読を防ぐために、電子メールクライアントのHTMLレンダリングを無効にすることを推奨している。電子フロンティア財団(EFF)は、PGP電子メールプラグインの使用を一時的にやめて、電子メールをベースとしない「Signal」などのプラットフォームを暗号化メッセージに使用することを推奨している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集