Enterprise

企業

2018.07.10 投稿者: ブログチーム

「EFAIL」暗号化したメール内容が漏洩する(1)

「EFAIL」暗号化したメール内容が漏洩する(1)

“2018年5月14日 (現地時間)、メールクライアントにおける OpenPGP およびS/MIME の取り扱いに関する問題について、発見者が特設のサイトを通じて公表しました。発見者はこの問題を「EFAIL」と命名しています。

EFAIL
https://efail.de/

発見者によると、この問題を悪用された場合、第三者が、細工した暗号化メールのメッセージをユーザのメールクライアントで復号化させることによりメッセージの平文を入手する可能性があります。詳細は、発見者が公開している情報を参照してください。”

(「メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起」 2018年5月15日 JPCERT コーディネーションセンター)

JP-CERTの発表によると、暗号化されたメールを平文化して攻撃者が読めるようにする攻撃が発見されたということです。発見者はこれを「EFAIL」と名付け、特設サイトで注意を呼び掛けています。

攻撃者がEFAIL攻撃で平文化したメールを入手するにあたっては、異なる2つの方法が使われています。

一つ目はメールクライアントの脆弱性をついてメールを漏洩させる手法である「Direct Exfiltration」、次に暗号化OpenPGPやS/MIMEの仕様の脆弱性をついて平文を漏洩させる「CBC/CFBガジェット攻撃」です 。

漏洩の流れを詳しく見てみましょう。
1)ハッキングによりメールを入手する(暗号化されたメール)。
2)入手したメールにHTMLのアクティブコンテンツ(画像やCSSなど)を挿入して対象者に送信する。
3)被害者のメールクライアントでメールを開いた時に平文化されたメール内容を2)で埋め込んだアクティブコンテンツによって攻撃者の指定先URLに送信させる。

つまり、これを仕掛けるには、事前に攻撃者は盗聴や電子メールアカウント、電子メールサーバー、バックアップシステムまたはクライアントコンピュータなどの侵害によって暗号化された電子メールにアクセスし、メールを収集しておく必要があります(過去に入手したものを使うことも可能です)。

(2)へつづく

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top