BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース PGPとS/MIMEによる暗号化メールに、Efail攻撃に対する脆弱性が見つかる

PGPとS/MIMEによる暗号化メールに、Efail攻撃に対する脆弱性が見つかる

原文(投稿日:2018/05/18)へのリンク

読者の皆様へ: 皆様のご要望にお応えするべく、ノイズを削減する機能セットを開発しました。皆様が関心をお持ちのトピックを、EメールとWeb通知で受け取ることができます。新機能をぜひお試しください。

ドイツとベルギーの研究者グループが、Efailと呼ばれる攻撃に対してPGPとS/MIMEに脆弱性があり、暗号化されたEメールの平文が漏洩する可能性のあることを発見した。EFF(The Electronic Frontier Foundation)はこの脆弱性を確認し、セキュアなメッセージ交換には代替手段を使用するよう勧告した。しかしながら、GunPGの開発者であるWerner Koch氏は、脆弱性はPGP自体のものではなく、EFFのコメントは大げさ過ぎる、と述べている。

EFAIL攻撃は、OpenPGPとS/MIME標準の脆弱性を悪用して、暗号化されたEメールから平文を取り出すものです。簡単に言えば、EFALは、HTML Eメールのアクティブコンテント、例えば外部からロードしたイメージやスタイルなどを悪用して、要求されたURLを通じて平文を流出させるのです。

しかしながら、この脆弱性を利用するのは簡単ではなく、まず最初に暗号化されたメッセージにアクセスしなければならない。これを達成するには、例えばEメールアカウントやバックアップに不正アクセスしたり、ネットワーク通信を傍受する必要がある。攻撃者が暗号化Eメールへのアクセスを獲得すれば、Eメールを改ざんした上で、変更されたEメールを受信者へ送信することが可能になる。被害者がEメールを復号して外部のコンテンツを読み込むと、平文化されたメッセージが攻撃者に漏洩するのだ。Efailを取り上げた論文には、Efailによる2パターンの攻撃が詳細に説明されている。研究者たちは、ひとつのS/MIMEメッセージを犠牲者に送信することで、500のS/MIME暗号化Eメールの解読に成功した、と主張している。PGPでの成功率はかなり低く、3回の試行で成功したのは1回のみだった。これはPGPが、暗号化の前に平文テキストを圧縮しているためだ。

Efailを考案した研究者チームは、当面の回避策として考えられるものも特定している。回避策の候補のひとつは、メールクライアントの外部でのみ受信メールの復号化を行うようにすると同時に、それを自動的に処理する暗号化プラグインを無効にする、というものだ。これにより、Eメールクライアントが攻撃者向けに公開チャネルを開く可能性を回避できる。もっと簡単には、EメールクライアントのHTMLレンダリングを無効にする、という方法もある。HTMLの表示は最も単純な情報漏洩チャネルであるからだ。

Efailの発表は、Webと報道の両方に大きな議論を呼び起こした。EFFは、Efail研究チームの調査結果を公式に支持している。

残念ですが、自身のデバイスと受信者のデバイスの両方にパッチが完了するまでは、EメールクライアントでのPGP利用を推奨することはできません。[…] 適切な回避策がリリースされるまで、EメールクライアントではPGPを使用しないことをお勧めします。

EFFが特に注意を喚起しているのは、どの回避策のアプローチにおいても、暗号化通信の関係者すべてが関与する必要がある、という点である。クライアントでのHTMLレンダリングを無効にしていないEメール受信者がひとりでもいれば、そのシステムには脆弱性を悪用される可能性があるのだ。

Efailの発表後間もなく、PGPの実装として広く利用されているGunPGの関係者が公式声明を発表した。Robert J. Hansen氏によれば、Efailの論文はEメールクライアントのバグによって生じる脆弱性に対するものであって、その大部分は警告を無視している。実際のGnuPGには、Efail論文で述べられているような攻撃に対して、MDC(Modification Detection Code)と呼ばれる具体的な対策がすでに含まれている、と氏は言う。MDCは認証付き暗号(authenticated encryption)の一形式で、PGPプラグインがGnuPGの“古い”バージョン(1.0シリーズ)でなく、MDC警告を正しく処理できるものであることを確認すれば安全である、とHansen氏は述べている。Koch氏はさらに、S/MIMEには認証付き暗号が実装されていないことを指摘した上で、S/MIMEにおける当面の唯一の回避策はHTMLレンダリングを無効にすることだ、としている。

この記事を評価

採用ステージ
スタイル

この記事に星をつける

おすすめ度
スタイル

BT