ニュース
» 2018年05月17日 08時00分 公開

脅威の現実性に疑問も:暗号化メールが読み取られる? 平文を抽出する脆弱性「EFAIL」をESETが解説

電子メール暗号化プロトコル「OpenPGP」と「S/MIME」には脆弱性があり、攻撃者がこれを悪用して、暗号化されたメッセージの平文を抽出して入手する恐れがある。

[@IT]

 電子メール暗号化プロトコル「OpenPGP」と「S/MIME」の脆弱(ぜいじゃく)性が発覚したことを受け、スロバキアのセキュリティ企業ESETが公式ブログに解説記事を掲載した。以下、内容を抄訳する。


 ドイツとベルギーの大学研究者8人のチームが、「広く使われている電子メール暗号化プロトコルある『OpenPGP』と『S/MIME』には脆弱性がある。攻撃者がこれを悪用し、暗号化されたメッセージの平文を入手する恐れがある」ことを発見し、特設サイト「efail.de」でこの問題について報告している。同チームはこの脆弱性を「EFAIL」と呼んでいる。

研究者チームが立ち上げた特設サイト「efail.de」

 EFAILには2つのバリエーションがあり、研究者チームは2018年5月14日(現地時間、以下同じ)に公開した技術論文で、これらについて詳しく解説している。

 efail.deでの研究者チームの説明によると、EFAILの悪用は、HTML電子メールのアクティブコンテンツ(外部からロードされる画像やスタイルなど)を使って行われる。攻撃者が送信した暗号化メールを被害者のメールクライアントが復号し、指定されたURLから外部コンテンツをロードすると、平文が抽出される仕組みだという。

 攻撃者がこのようにEFAILを悪用するには、まず暗号化メールにアクセスする必要がある。これは、転送中のメールを傍受するか、メールアカウント、クライアントコンピュータ、バックアップシステムのいずれかに侵入し、メールを盗むことで可能だ。

 次に攻撃者は、盗んだメールに対してカスタムHTMLコードを付加して改変し、被害者に送信する。被害者のメールクライアントは暗号化メールを復号し、HTMLレンダリングの過程で悪意あるコードを実行させられ、平文を抽出し、攻撃者に送信してしまう。何年も前に送信されたメールも、この方法で解読されてしまう恐れがある。

 研究者チームがPoC(Proof of Concept:概念実証)のためにEFAILを悪用した攻撃を35のS/MIMEメールクライアントと28のOpenPGPクライアントに対して仕掛けたところ、前者では25クライアント、後者では10クライアントで攻撃が成功した。

 EFAILの影響を受けるクライアントの例には、暗号化プラグイン「GPGTools」を組み込んだ「Apple Mail」、プラグイン「Enigmail」を組み込んだ「Mozilla Thunderbird」、暗号化パッケージ「Gpg4win」と組み合わせた「Outlook」などがある。研究者チームは、「責任ある開示」の原則に従い、関連するメールクライアントプロバイダーに発見結果を報告済みだとしている。

 さらに研究者チームは、「EFAILの信頼できる解決策はない」と断言し、短期、中期、長期の緩和策を推奨している。短期的な緩和策には、メールクライアントとは別のアプリケーションで暗号化メールを復号するとともに、HTML画像やスタイルのようなリモートコンテンツのレンダリングの無効化が含まれる。中期的な緩和策は脆弱性の修正、長期的な緩和策は規格のアップデートだという。

 米国のデジタル権利団体「Electronic Frontier Foundation(EFF)」は、研究者チームの発見結果を公開前にレビューし、5月13日に発表した一連のチュートリアルで、研究者チームのアドバイスとほぼ同じ対策を推奨している。

 その一方で、研究者チームの発見結果は論争を巻き起こしている。特に、同チームが警告している脅威がどれほど現実的かが議論を呼んでいる。

 Enigmailのロバート J. ハンセン氏は、研究者チームの警告活動は「空騒ぎ」だと切り捨て、GNU Privacy Guard(GnuPG/GPG)の生みの親ワーナー・コッチ氏も、「誇張されている」と指摘している。

 暗号技術の専門家ブルース・シュナイアー氏は、「PGPやS/MIME自体に脆弱性があるのではなく、これらと最近のメールプログラムがやりとりを行う方法に脆弱性が存在する」との見方を示している。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。