連載
» 2004年01月01日 10時00分 公開

セキュリティ用語事典:APOP

Authenticated Post Office Protocol/Authenticated Processing Options Protocol

[@IT]

 RFC1939の7で規定されているPOP3(Post Office Protocol v3)のオプション機能。

 通常、電子メールはメールサーバに蓄積され、Post Office Protocol(POP)と呼ばれるプロトコルでやりとりをすることでメールを取り出すことができる。しかしこのPOPはアカウントやパスワードといった情報を平文(テキスト)で送信するため、通信線路上での盗聴により容易に盗み出すことができてしまう。

 そのためAPOPでは従来のPOPを拡張し、パスワードを暗号化してやりとりをすることで盗聴によるアカウント情報の奪取などを防止するようにしている。

 APOPはメールサーバ、クライアントがともに対応可能でなければ利用できず、現時点のWindows環境ではBeckyやAL-Mail、PostPetといったメールクライアントでAPOPを利用可能だ。しかし明示的に設定を変更する必要があり、サーバ/クライアントが対応する必要があるという制約から、標準でAPOPのみを採用しているメールクライアントはほとんどない。

 2007年4月19日、情報処理推進機構(IPA)セキュリティセンターはAPOPのプロトコル自体にパスワード漏えいの脆弱性が存在することを発表した。APOPで利用されるハッシュ関数MD5のコリジョン(衝突)に起因する問題であるため、根本的な解決方法はない。そのため、セッション自体を暗号化するPOP over SSLなどを利用することが望ましい。

関連用語

POP before SMTP
HTTPS
ssh(Secure Shell)

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。