APOPメールパスワード漏洩の脆弱性をIPAが注意喚起

　4月19日、独立行政法人情報処理推進機構（IPA）は、電子メールで一般的な認証パスワードの暗号が解読される危険性について「情報セキュリティ早期警戒パートナーシップ」に基づき注意喚起を行った。

　一般的な電子メールプロトコルでは、本人確認のためにメールアカウントとパスワードによる認証を行うが、このパスワードが盗まれないように、APOPという認証プロトコルでは、MD5という暗号化処理を施している。このMD5の安全性については、以前から専門家や研究者が問題点を指摘していたが、一般的には長期間の盗聴による暗号文字列の収集が必要であることと、メールプロトコル自体、パスワードを解読しなくてもメール本文の盗聴や改ざんが可能なことから、これまで現実的な危険として取り上げられることは少なかった。

　今回の注意喚起は、経済産業省の告示に基づきIPAなどが推進している「情報セキュリティ早期警戒パートナーシップ」に基づき、研究者らの報告を受けて、企業などへの情報提供や共有をより確実にするために行われたものだ。したがって、APOPの危険性が急激に高まった、あるいは画期的な暗号解読方法が発見されたというものではない。すでに、メール本文の暗号化をSSLで行っていたり、APOP以外の認証方法、POP3以外のプロトコルを利用しているメールサーバ（とそのユーザ）には直接の影響は少ない。

　対策としては、APOPを使っていてもパスワードを定期的に変更したり、メール本文の暗号化、電子署名の活用など一般的なセキュリティ対策が基本となる。IPAとしても、メールのパスワードが漏れることと、メール本文が盗聴されることには技術的な関連ないため、同じ文字列を他のパスワードにも使っていることで発生する被害について警告している。