暗号化メールが読み取られる？　平文を抽出する脆弱性「EFAIL」をESETが解説：脅威の現実性に疑問も

　電子メール暗号化プロトコル「OpenPGP」と「S/MIME」の脆弱（ぜいじゃく）性が発覚したことを受け、スロバキアのセキュリティ企業ESETが公式ブログに解説記事を掲載した。以下、内容を抄訳する。

　ドイツとベルギーの大学研究者8人のチームが、「広く使われている電子メール暗号化プロトコルある『OpenPGP』と『S/MIME』には脆弱性がある。攻撃者がこれを悪用し、暗号化されたメッセージの平文を入手する恐れがある」ことを発見し、特設サイト「efail.de」でこの問題について報告している。同チームはこの脆弱性を「EFAIL」と呼んでいる。

研究者チームが立ち上げた特設サイト「efail.de」

　EFAILには2つのバリエーションがあり、研究者チームは2018年5月14日（現地時間、以下同じ）に公開した技術論文で、これらについて詳しく解説している。

　efail.deでの研究者チームの説明によると、EFAILの悪用は、HTML電子メールのアクティブコンテンツ（外部からロードされる画像やスタイルなど）を使って行われる。攻撃者が送信した暗号化メールを被害者のメールクライアントが復号し、指定されたURLから外部コンテンツをロードすると、平文が抽出される仕組みだという。

　攻撃者がこのようにEFAILを悪用するには、まず暗号化メールにアクセスする必要がある。これは、転送中のメールを傍受するか、メールアカウント、クライアントコンピュータ、バックアップシステムのいずれかに侵入し、メールを盗むことで可能だ。

　次に攻撃者は、盗んだメールに対してカスタムHTMLコードを付加して改変し、被害者に送信する。被害者のメールクライアントは暗号化メールを復号し、HTMLレンダリングの過程で悪意あるコードを実行させられ、平文を抽出し、攻撃者に送信してしまう。何年も前に送信されたメールも、この方法で解読されてしまう恐れがある。

　研究者チームがPoC（Proof of Concept：概念実証）のためにEFAILを悪用した攻撃を35のS/MIMEメールクライアントと28のOpenPGPクライアントに対して仕掛けたところ、前者では25クライアント、後者では10クライアントで攻撃が成功した。

　EFAILの影響を受けるクライアントの例には、暗号化プラグイン「GPGTools」を組み込んだ「Apple Mail」、プラグイン「Enigmail」を組み込んだ「Mozilla Thunderbird」、暗号化パッケージ「Gpg4win」と組み合わせた「Outlook」などがある。研究者チームは、「責任ある開示」の原則に従い、関連するメールクライアントプロバイダーに発見結果を報告済みだとしている。

　さらに研究者チームは、「EFAILの信頼できる解決策はない」と断言し、短期、中期、長期の緩和策を推奨している。短期的な緩和策には、メールクライアントとは別のアプリケーションで暗号化メールを復号するとともに、HTML画像やスタイルのようなリモートコンテンツのレンダリングの無効化が含まれる。中期的な緩和策は脆弱性の修正、長期的な緩和策は規格のアップデートだという。

　米国のデジタル権利団体「Electronic Frontier Foundation（EFF）」は、研究者チームの発見結果を公開前にレビューし、5月13日に発表した一連のチュートリアルで、研究者チームのアドバイスとほぼ同じ対策を推奨している。

　その一方で、研究者チームの発見結果は論争を巻き起こしている。特に、同チームが警告している脅威がどれほど現実的かが議論を呼んでいる。

　Enigmailのロバート J. ハンセン氏は、研究者チームの警告活動は「空騒ぎ」だと切り捨て、GNU Privacy Guard（GnuPG/GPG）の生みの親ワーナー・コッチ氏も、「誇張されている」と指摘している。

　暗号技術の専門家ブルース・シュナイアー氏は、「PGPやS/MIME自体に脆弱性があるのではなく、これらと最近のメールプログラムがやりとりを行う方法に脆弱性が存在する」との見方を示している。