EFAIL「OpenPGP」「S/MIME」暗号化電子メールが解読可能

2018年5月15日

ニュースソース:EFAIL

以下は 2018年05月14日にデュッセルドルフの研究者が発表した暗号化電子メールの脆弱性EFAILを要約したものです。


EFAILは「OpenPGP」と「S/MIME」で暗号化された電子メールが秘密鍵なしで解読される脆弱性の名称です。
攻撃者がこの脆弱性を利用するためには攻撃対象のメールアカウントを継続的に傍受したり、改ざんしたりできることが前提です。
EFAIL攻撃には2つの異なる種類があります。

  • 直接攻撃
    直接攻撃は、Apple Mail、iOS Mail、Mozilla Thunderbirdの脆弱性を悪用して、暗号化された電子メールの平文を直接抽出します。これらの脆弱性は、それぞれの電子メールクライアントで修正することができます。
  • CBC/CFBガジェット攻撃
    メールの構造体に含まれる平文テキストを利用して暗号化された電子メールの平文を直接抽出します。これらの脆弱性は、OpenPGP、S/MIME自体の脆弱性です。

すぐに実行可能な対策

  • EFAIL攻撃を防止する最善の方法は、電子メールクライアントの外部にある別のアプリケーションでS/MIMEまたはPGP電子メールのみを復号化することです。
  • 電子メールクライアントでHTML電子メールの表示を無効にすることでも防止効果があります。
電子メールアカウントのパスワードを見直す等不正アクセスを防止することも重要です。
クライアント証明書の差し替えは無意味です。