暗号化された電子メールが読み取られるおそれ--「EFAIL」脆弱性が明らかに

　電子メールの暗号化に脆弱性があり、ハッカーらにメッセージを読み取られるおそれがあるという。

　欧州の研究者らによって「EFAIL」と名付けられたこの脆弱性は、PGPなどの電子メール暗号化規格を破るものではないが、電子メールクライアントがHTMLコードを読み取る方法に関連する脆弱性を利用する。ハッカーらはこれを利用して、不正なHTMLタグ（外部にロードされた画像へのリンクなど）を埋め込んだ電子メールを送信することにより、PGPやS/MIMEで暗号化されたメッセージを読み取ることができると研究者らは述べている。

提供：Efail

　EFAILに関する研究者の1人で、ミュンスター応用科学大学でコンピュータセキュリティを専門とするSebastian Schinzel教授は、「現在のところ、この脆弱性に対する信頼できる修正方法はない」とTwitterで述べた。

　複数の処理を実行しなければ、この脆弱性を利用して暗号化された電子メールの内容を読み取ることはできない。しかし、この脆弱性により、PGPの頑強な鎧にほころびがあることが明らかになった。暗号化された電子メールにアクセスする手段が攻撃者にあることは間違いなく、それは犠牲となるアカウントがいずれ現れることを意味する。

　この攻撃を仕掛けるには、あらかじめ入手した暗号化された電子メールのコンテンツを、電子メールクライアントにHTMLタグだとみせかけるための巧みに操作された方法で、所有者（犠牲者）に送り返さなければならない。Appleのメールアプリや「Mozilla Thunderbird」などのクライアントは、そのコンテンツを暗号化されたメッセージではなくHTMLタグとして処理する。

提供：https://efail.de/

　「確かに多くの処理が必要で、正直に言って、危険というよりは仮定上の話にすぎない」と、セキュリティ企業TrustedSecの最高経営責任者（CEO）を務めるDave Kennedy氏は述べた。

　この攻撃は、最近のメッセージだけでなく、アーカイブ済みの暗号化された電子メールにも適用できる。

　研究者らは、PGPメッセージの解読を防ぐために、電子メールクライアントのHTMLレンダリングを無効にすることを推奨している。電子フロンティア財団（EFF）は、PGP電子メールプラグインの使用を一時的にやめて、電子メールをベースとしない「Signal」などのプラットフォームを暗号化メッセージに使用することを推奨している。