そもそも本文は暗号化されてないでしょうに。

ちょっと前からAPOPが危ないみたいな話が流れていたんですが、IPAから「APOP方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について」という話がでたのでだいぶ大きくなってきましたね。

メールのパスワード暗号破った…ＡＰＯＰ規格を解読 : 経済ニュース : 経済・マネー : YOMIURI ONLINE（読売新聞）

太田教授の研究グループは暗号化のカギとなる「ＭＤ５」を逆にさかのぼり、暗号化する前のパスワードに戻す手法を見つけた。この技術がハッカーなどに使われると、重要なメールが読み取られる恐れがある。日本銀行金融研究所の岩下直行・情報技術研究センター長は「ＭＤ５は、メール以外にも会員制サイトに入る際のパスワードの暗号化などインターネットの世界で広く使われている。さらに強力な関数に替えるなどの処置が必要だ」と話している。

この読売新聞の記事はひどいなぁ。この攻撃を行うにはMan-in-the-Middle-Attackができることが必須なんですが、そもそも普通のPOP/APOPは本文は暗号化されていないので大事なメールはMan-in-the-Middle-Attackができる時点で盗み見られてしまうのに、さもパスワードが解読されることで内容が盗み見られるということに論点をすり替えているし。

とりあえず対策は、SSL/TLSを使うということと、POPのパスワードを他の重要なパスワードと共用しないということでいいのかな。そもそもAPOPは原理上サーバ上でパスワードを平文で保持しないといけないのでサーバをクラックされるとアウトという欠点があったので、あまり好きではなかったんですがこれでAPOPもなくなっていくんでしょうね。