APOP
Authenticated Post Office Protocol/Authenticated Processing Options Protocol
RFC1939の7で規定されているPOP3(Post Office Protocol v3)のオプション機能。
通常、電子メールはメールサーバに蓄積され、Post Office Protocol(POP)と呼ばれるプロトコルでやりとりをすることでメールを取り出すことができる。しかしこのPOPはアカウントやパスワードといった情報を平文(テキスト)で送信するため、通信線路上での盗聴により容易に盗み出すことができてしまう。
そのためAPOPでは従来のPOPを拡張し、パスワードを暗号化してやりとりをすることで盗聴によるアカウント情報の奪取などを防止するようにしている。
APOPはメールサーバ、クライアントがともに対応可能でなければ利用できず、現時点のWindows環境ではBeckyやAL-Mail、PostPetといったメールクライアントでAPOPを利用可能だ。しかし明示的に設定を変更する必要があり、サーバ/クライアントが対応する必要があるという制約から、標準でAPOPのみを採用しているメールクライアントはほとんどない。
2007年4月19日、情報処理推進機構(IPA)セキュリティセンターはAPOPのプロトコル自体にパスワード漏えいの脆弱性が存在することを発表した。APOPで利用されるハッシュ関数MD5のコリジョン(衝突)に起因する問題であるため、根本的な解決方法はない。そのため、セッション自体を暗号化するPOP over SSLなどを利用することが望ましい。
関連記事
関連用語
リンク
Security&Trust フォーラム 新着記事
- 複雑化、巧妙化する脅威への対策は? (2012/5/23)
データ保護や標的型攻撃対策、クラウドセキュリティ……「第9回 情報セキュリティEXPO」の会場で見つけた製品を一挙に紹介 - 仮想化がはらむ新たなリスク (2012/5/17)
仮想化に伴って生じるセキュリティやパフォーマンスへの影響を慎重に考慮し、うまく制御していく方法を紹介します - 新入生も新入社員も勉強会に寄っといで! (2012/5/14)
週末ともなれば至るところでセキュリティ系勉強会やCTFなどのイベントがあり、ツイートも盛り上がりました - 防ごうにも防げない? Facebookでの情報漏えい (2012/4/27)
全世界のユーザー数が9億人を突破し、日本でも広がりつつあるFacebook。普及にともないさまざまな「ワナ」も……
 |
|
|
|
|
RSSフィード 
@IT 新着記事
アイティメディアの提供サービス
TechTargetジャパン
キャリアアップ
Copyright(c)
2000-2012
ITmedia Inc.
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。