BLOGTIMES
2007/04/19

そもそも本文は暗号化されてないでしょうに。

 
このエントリーをはてなブックマークに追加

ちょっと前からAPOPが危ないみたいな話が流れていたんですが、IPAから「APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について」という話がでたのでだいぶ大きくなってきましたね。

メールのパスワード暗号破った…APOP規格を解読 : 経済ニュース : 経済・マネー : YOMIURI ONLINE(読売新聞)

太田教授の研究グループは暗号化のカギとなる「MD5」を逆にさかのぼり、暗号化する前のパスワードに戻す手法を見つけた。この技術がハッカーなどに使われると、重要なメールが読み取られる恐れがある。日本銀行金融研究所の岩下直行・情報技術研究センター長は「MD5は、メール以外にも会員制サイトに入る際のパスワードの暗号化などインターネットの世界で広く使われている。さらに強力な関数に替えるなどの処置が必要だ」と話している。

この読売新聞の記事はひどいなぁ。この攻撃を行うにはMan-in-the-Middle-Attackができることが必須なんですが、そもそも普通のPOP/APOPは本文は暗号化されていないので大事なメールはMan-in-the-Middle-Attackができる時点で盗み見られてしまうのに、さもパスワードが解読されることで内容が盗み見られるということに論点をすり替えているし。

とりあえず対策は、SSL/TLSを使うということと、POPのパスワードを他の重要なパスワードと共用しないということでいいのかな。そもそもAPOPは原理上サーバ上でパスワードを平文で保持しないといけないのでサーバをクラックされるとアウトという欠点があったので、あまり好きではなかったんですがこれでAPOPもなくなっていくんでしょうね。


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/1959
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン