Internet Watch logo
記事検索
最新ニュース

APOPにパスワード漏洩の脆弱性、代替手段を推奨


 情報処理推進機構(IPA)は19日、メール受信時の認証方式のAPOPについて、攻撃者がなりすましたメールサーバーを用いることで、パスワードが漏洩する脆弱性が発見されたと警告した。

 APOPでは、メールサーバーが送信する毎回異なる文字列(チャレンジ文字列)にパスワードを組み合わせた文字列を、MD5と呼ばれるハッシュ関数により暗号化(ダイジェスト化)し、これをワンタイムパスワードとして使用している。このため、通信経路の盗聴やサーバーのなりすましなどが行なわれた場合でも、攻撃者は暗号化された文字列しか入手できないため、暗号が解読されなければパスワードが漏洩することはない。

 報告された脆弱性は、攻撃者が正規のメールサーバーになりすましたサーバーを用意し、偽のサーバーが送信するチャレンジ文字列に対する応答を一定時間収集することにより、パスワードの解読が可能になるというもの。APOPで用いられているMD5ハッシュ方式については危険性を指摘する論文が多く公表されていたが、今回、暗号学の国際会議(FSE2007)においてAPOPにおける攻撃方法の概要が公開された。

 脆弱性を報告した電気通信大学の研究者らによれば、31文字のパスワードを31時間で解読できたという。また、脆弱性情報を公開しているJVN(JP Vendor Status Notes)では、この攻撃はメールクライアントからの応答をユーザーに気づかれずに長時間に渡って集める必要があるため、実際の攻撃は比較的困難と考えられるとしている。

 IPAでは、この問題はプロトコル上の問題であるため、ソフトウェアの修正による根本的な解決はできないとして、POP over SSLやWebメールなど、SSLによる暗号化通信を利用することを回避策として挙げている。


関連情報

URL
  APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について
  http://www.ipa.go.jp/security/vuln/200704_APOP.html
  APOPにおけるパスワード漏えいの脆弱性(JVN)
  http://jvn.jp/jp/JVN%2319445002/index.html


( 三柳英樹 )
2007/04/19 13:15

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.