一般的に電子メールをメールサーバから取得する際には Post Office Protocol Version 3 (POP3) が用いられます。パスワードを平文で流さないために考案された、認証システムである APOP 方式で致命的な脆弱性が確認されたようです。詳細は、杜撰な研究者の日記のアーティクル 「APOP」にありますが、一種の Man-in-the-middle 攻撃で、 31 文字までのパスワードが攻略可能という話が FSE 2007 のランプセッションで報告されたようです。
こういった、状況を踏まえて IPA から 「APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について」というタイトルで注意喚起が発表されています。プロトコルそのものの脆弱性のため特定の実装の脆弱性ではないので注意が必要です。現時点では、対策として考えられるのは POP over SSL など SSL を用いる方法が対策方法であると紹介されています。
コメントする