APOPの脆弱性 投稿日: 2007-04-19 4/8 尾道市、西国寺にて 今朝の『とくダネ!』のオープニングトークで取り上げられたのに一番驚いた、APOPの脆弱性。簡単に言うとメールを読み出す時のパスワードが知られてしまうと言う問題。 しかし、欠陥云々の前に実際にはAPOPすらあまり使われていない実態に注意して欲しい。 つまりAの付かない一般的なPOPはパスワードそのものが無防備にもネットワーク上を裸で流れているというリスクがあまり意識されていないように思える。もちろん、電線や光ファイバーの中の話なので目視で見えるというものではないが、LANケーブルやディスプレイの漏洩電磁波から意外と簡単にデータが復元できたりする事も知られているので、実は少しスキルのある人がやろうと思えば意外と簡単にできてしまうと思った方がよい。例えAPOPでパスワードは守れても、メール本文は暗号化されないので内容は読み放題だ。 言うまでもなく無線LANならラジオを聞くのと同じくらい簡単に受信できるのは知っての通り。だからWEP等で全体を暗号化するわけだが、そのWEP暗号もわずか60秒で破られる事態になっており、ほとんど無意味。 ニンテンドーDSを繋げるためにWEPを後生大事に使っている人は特に危険なので、ニンテンドーDSとは別にパソコン用のアクセスポイントを分けて一刻も早くWPAやWPA2に強化すべきだ。 つまり現実問題として無線も有線も盗聴されるリスクは意外と大きいわけで、パスワードだけでなく全体をちゃんと暗号化すべきというのが結論。 というわけで、POP/SMTP over SSLを使いましょう。…もっとも、ユーザーがいくら頑張ってもサーバーを提供するプロバイダーが対応してくれないと無理なのが痛いところだ。でも個人情報漏洩事件華やかなりしこのご時世、その程度の危機意識しかないないような危ういプロバイダーには三行半を突きつけ、より安全なとこへ乗り換えるのもいい機会じゃないかと思う。 【参照】 ●ITmedia http://www.itmedia.co.jp/ ┣無線LANのWEP暗号、60秒でクラッキング 2007年4月5日 ┣暗号化技術WEP、今度こそ最期を迎えるか 2007年4月9日 ┗APOPにパスワードが漏れる脆弱性 2007年4月19日 ●日経ITPro http://itpro.nikkeibp.co.jp/ ┗メール受信の「APOP」方式にパスワード漏えいの危険性 2007年4月19日 ●nikkansports.com http://www.nikkansports.com/ ┗ランエボ盗み暴走、持ち主引きずり殺す 2007年4月17日 ●西日本新聞 http://www.nishinippon.co.jp/ ┗車盗難保険金 外形的立証で請求可 最高裁初判断 福岡高裁に差し戻し 2007年4月17日
