« PSPシステムソフト3.40リリース | トップページ | XBOX360エリートの分解画像 »

2007/04/19

APOPにパスワード漏洩の脆弱性、根本的な解決方法なし

INTERNET Watch:APOPにパスワード漏洩の脆弱性、代替手段を推奨

メール受信時の認証方式のAPOPに、プロトコル上の問題でパスワード解読が可能な脆弱性があり、第三者にパスワードが漏えいする可能性があるそうです。

詳しくはこちらの注意喚起をどうぞ。
JVN#19445002:APOP におけるパスワード漏えいの脆弱性
IPA:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について

JVNの概要によると、

この攻撃では、攻撃者がメールクライアントの通信先であるメールサーバになりすまし、攻撃者が送信するチャレンジ文字列に対するメールクライアントからの応答を、ユーザに気づかれずに長時間にわたって集める必要があります。そのため、実際の攻撃は比較的困難であると考えられます。

影響を受けるシステム
- APOP を実装しているメールクライアント

本件は、プロトコル上の問題であるため、ソフトウェアの修正による根本的な解決はできません。POP over SSL などの暗号化通信を使用することを推奨します。また、POP アカウントに利用しているパスワードが他のシステムのパスワードと共通である場合、他のシステムへのアクセスに利用される可能性もありますので、サービス毎に異なるパスワードを使うことを推奨します。

ということで、暗号化通信(POP3sとか)が使える場合にはそちらを使っておいた方が良さそうです。

« PSPシステムソフト3.40リリース | トップページ | XBOX360エリートの分解画像 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

« PSPシステムソフト3.40リリース | トップページ | XBOX360エリートの分解画像 »