Enterprise

企業

2018.07.12 投稿者: ブログチーム

「EFAIL」暗号化したメール内容が漏洩する(2)

「EFAIL」暗号化したメール内容が漏洩する(2)

“2018年5月14日 (現地時間)、メールクライアントにおける OpenPGP およびS/MIME の取り扱いに関する問題について、発見者が特設のサイトを通じて公表しました。発見者はこの問題を「EFAIL」と命名しています。

EFAIL
https://efail.de/

発見者によると、この問題を悪用された場合、第三者が、細工した暗号化メールのメッセージをユーザのメールクライアントで復号化させることによりメッセージの平文を入手する可能性があります。詳細は、発見者が公開している情報を参照してください。”

(「メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起」 2018年5月15日 JPCERT コーディネーションセンター)

EFAILではメールクライアントの脆弱性をついてメールの平文を収集する「Direct Exfiltration」と、OpenPGPやS/MIMEの仕様の脆弱性をついたCBC/CFBガジェット攻撃があります。

防衛策としては、

  • メールクライアントとは別のアプリケーションでメールを復号化する。つまり、暗号化されたメールをメールクライアントで受信し、別アプリでメールを復号化します。今後の脅威を取り除くためにはメールクライアント内の暗号化鍵も削除するのが好ましいでしょう。複雑で手間がかかりますがすぐに対応が可能で最も安全な方法といえます。
  • HTMLメールの表示(HTMLレンダリング)を無効にする。
  • メールクライントからパッチが公開されたら適用する。
  • OpenPGPやS/MIMEの脆弱性の対応を待つ。

TLSなどのネットワークにおける対策は一定の有効性を持ちます。TLSはアクセスさせないことが目的であり、このEFAILの前提であるハッキングそのものを防ぐからです。しかし、一度何らかの方法で暗号化されたメールにアクセスされてしまうと効果はありません。つまり、ハッキング対策を強化していても、それ以前に暗号化メールを取得されていれば、それが漏洩する危険は避けられないということです。

漏洩までの流れを食い止める複数の防止策を講じることが賢明です。

法的免責事項
本WEBマガジンへ情報の掲載をする個人(管理人を含む)は、アライドテレシスの社員である場合がございます。本WEBサイト上のコメント及び意見については、あくまで投稿者の個人的な意見であり、当社の意見ではありません。本WEBマガジンは情報の提供のみを目的としており、アライドテレシスや他の関係者による推奨や表明を目的としてはおりません。各利用者は、本WEBマガジンの利用に関するあらゆる責任から、アライドテレシスを免責することに同意したものとします。
Page Top