APOPにパスワード漏洩の脆弱性、根本的な解決方法なし

INTERNET Watch：APOPにパスワード漏洩の脆弱性、代替手段を推奨

メール受信時の認証方式のAPOPに、プロトコル上の問題でパスワード解読が可能な脆弱性があり、第三者にパスワードが漏えいする可能性があるそうです。

詳しくはこちらの注意喚起をどうぞ。
JVN#19445002：APOP におけるパスワード漏えいの脆弱性
IPA：APOP方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について

JVNの概要によると、

この攻撃では、攻撃者がメールクライアントの通信先であるメールサーバになりすまし、攻撃者が送信するチャレンジ文字列に対するメールクライアントからの応答を、ユーザに気づかれずに長時間にわたって集める必要があります。そのため、実際の攻撃は比較的困難であると考えられます。

影響を受けるシステム
- APOP を実装しているメールクライアント

本件は、プロトコル上の問題であるため、ソフトウェアの修正による根本的な解決はできません。POP over SSL などの暗号化通信を使用することを推奨します。また、POP アカウントに利用しているパスワードが他のシステムのパスワードと共通である場合、他のシステムへのアクセスに利用される可能性もありますので、サービス毎に異なるパスワードを使うことを推奨します。

ということで、暗号化通信（POP3sとか）が使える場合にはそちらを使っておいた方が良さそうです。