いまどきAPOPなんですか?
回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。回避方法が取れない場合「メールのパスワードを他のシステムのパスワードと同一にしない」ことで悪用された際の被害を軽減できます。
メールの「APOP」脆弱性のアナウンス。
APOP は、メールサーバからメールを受信する POP3 プロトコルで使用される認証方式の一つ。
驚いたのは結構反応している人が多いこと。
POP3なんてそんなに使ってるんですか?
APOPなんか怖くて使えない
何に反応してるんでしょう?
メール本文がみられちゃうこと?APOPを利用しているなら、POP3な訳でメール本文は暗号化されません。ネットワーク上を行き交うのでパケットを見られれば、内容は盗み見られます。
簡単にプロトコル・認証でのセキュリティレベルを整理すると下記のようになります。
- pop3 ・・・ アカウント・パスワード・メール本文 全部平文
- APOP ・・・ アカウント・パスワードは暗号化。 メール本文は平文
- POP over SSL ・・・ アカウント・パスワード・メール本文、全て暗号化
実際、パケットダンプが必要な仕事をしていた時、試しにメール電文を見てみました。仕様上、メール本文が見えるはずだから見てみようと。当たり前なんですがやってみると内容がしっかり確認できました。(他人のメールは見てません!あくまで実験ですから)
知っているのと、自分がやってみるのは全然別。自分で実験してみると怖さを実感。それ以来、over SSLを利用するようになりました。
それでもAPOP使うなら、対策ってこの程度でいいんじゃない?
APOPの問題は所詮アカウントとメールのパスワードがばれるという話にすぎません。
- 定期的にパスワードを変更する
- メールのパスワードを他のパスワードと共有しない
くらいの対策でも十分被害はおさえられるはず。
攻撃方法
man-in-the-middleをベースに認証のtry&errorを繰り返すようです。
詳細は下記ページからリンクされているPDFを参照。
この攻撃では、攻撃者がメールクライアントの通信先であるメールサーバになりすまし、攻撃者が送信するチャレンジ文字列に対するメールクライアントからの応答を、ユーザに気づかれずに長時間にわたって集める必要があります。そのため、実際の攻撃は比較的困難であると考えられます。
thunderbird2がリリースされましたね
Mozilla Japanは19日、迷惑メール対策機能などを搭載したメールソフト「Thunderbird」の最新版v2を公開した。
早速つかってみまーす。
リリースノートによると強化されたポイントは下記。
- メッセージタグ
- テーマ
- セッション履歴ナビゲーション
- フォルダビュー
- gmail,.macメールの設定簡略化
- 拡張機能サポートの強化
- 新着メッセージの通知の改良
- フォルダの要約ポップアップ
- 検索フォルダのパフォーマンス改善
その中でも「メッセージタグ」は便利そう。
フィルタ設定で、特定のメールに色づけを行えます。分類する時には便利そうですね。*1
*1:以前からこういうのって出来るんでしたっけ?