[過去ログ]
【ITセキュリティ】暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性 (20レス)
【ITセキュリティ】暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性 http://egg.5ch.net/test/read.cgi/bizplus/1526353447/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
このスレッドは過去ログ倉庫に格納されています。
次スレ検索
歴削→次スレ
栞削→次スレ
過去ログメニュー
1: あられお菓子 ★ [sage] 2018/05/15(火) 12:04:07 ID:CAP_USER ITmedia エンタープライズ 2018年05月15日 08時40分 公開 http://www.itmedia.co.jp/enterprise/articles/1805/15/news062.html 「PGP」「S/MIME」に発見された脆弱性は「EFAIL」と命名された http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp01.jpg 脆弱性が見つかったS/MIME電子メールクライアント(出典:EFAIL解説サイト) http://image.itmedia.co.jp/enterprise/articles/1805/15/ki_pgp02.jpg 電子メールの暗号化に広く使われている「PGP」「S/MIME」の両規格に、暗号化されたメッセージを 攻撃者が平文で入手できてしまう脆弱性が報告された。米電子フロンティア財団は当面の対策として、 電子メールクライアントのPGPを無効にし、別の手段に切り替えるよう勧告している。 脆弱性はドイツのミュンスター応用科学大学などの研究チームが発見し、「EFAIL」と命名。 2018年5月13日から14日にかけて技術論文などを公開した。 電子フロンティア財団の発表やEFAIL解説サイトによると、EFAIL攻撃ではHTMLメールなどのコンテンツを 悪用する手口で平文が抽出される恐れがある。攻撃の前提として、攻撃者はまずネットワークトラフィックの 盗聴や電子メールアカウントのハッキングといった手口を通じ、狙った相手の暗号化されたメールを 入手しておく必要がある。 その後、脆弱性を突いて入手したメールに手を加え、被害者の電子メールクライアントに送信する手口で、 メールの内容を復号させ、被害者に知られることなく平文を入手することができてしまうという。 この脆弱性は、Microsoft Outlookなど多数のクライアントが影響を受ける。研究チームが行った テストでは、S/MIME電子メールクライアント35本のうちの25本、OpenPGP電子メールクライアントでは 28本中10本に脆弱性が存在していることが判明。中でもApple Mail、iOS Mail、Mozilla Thunderbirdでは、 暗号化されたメールの平文を直接的に抽出される恐れがあり、特に危険が大きいとしている。 研究チームによると、今回の脆弱性は、ジャーナリストや政治活動家、告発者といった敵対的環境にある ユーザーを危険にさらしかねず、国家が関与する攻撃などに利用される恐れもある。 メーカー各社には、2017年10月から2018年3月にかけて連絡を取っているという。しかし 「それぞれのベンダーが打ち出す対策によって、攻撃を防止できるかもしれないし、できないかもしれない。 従って長期的には規格を更新して、この脆弱性の根本的な原因を修正する必要がある」と研究チームは解説する。 短期的な緩和策としては、メールの復号を電子メールクライアントで行わず、クライアント外の 別のアプリケーションで行うことや、HTMLを無効にすることなどを挙げている。 http://egg.5ch.net/test/read.cgi/bizplus/1526353447/1
2: 名刺は切らしておりまして [sage] 2018/05/15(火) 12:05:17 ID:DreAULMo PGPとか現役なん? http://egg.5ch.net/test/read.cgi/bizplus/1526353447/2
3: 名刺は切らしておりまして [sage] 2018/05/15(火) 12:07:05 ID:I0W20r2i 暗号化メールを送るようなやつはSSL接続だろうし HTMLにもしないだろう http://egg.5ch.net/test/read.cgi/bizplus/1526353447/3
4: 名刺は切らしておりまして [sage] 2018/05/15(火) 12:07:28 ID:I0W20r2i >>2 代わりに何使ってるん? http://egg.5ch.net/test/read.cgi/bizplus/1526353447/4
5: 名刺は切らしておりまして [] 2018/05/15(火) 12:14:45 ID:MH2P5RHu へ、平文… http://egg.5ch.net/test/read.cgi/bizplus/1526353447/5
6: 名刺は切らしておりまして [sage] 2018/05/15(火) 12:19:35 ID:HKnucIFE 脆弱性が読めない http://9ch.net/XT http://egg.5ch.net/test/read.cgi/bizplus/1526353447/6
7: 名刺は切らしておりまして [sage] 2018/05/15(火) 12:46:02 ID:H7HdKZYK >>6 軟弱者! http://egg.5ch.net/test/read.cgi/bizplus/1526353447/7
8: 名刺は切らしておりまして [sage] 2018/05/15(火) 12:50:48 ID:h8w2kF+2 メール暗号化の脆弱性以前に 最初のメールのハッキングか盗聴の時点でダメなんじゃないの http://egg.5ch.net/test/read.cgi/bizplus/1526353447/8
9: 名刺は切らしておりまして [sage] 2018/05/15(火) 13:43:35 ID:aKS1bVs9 六四天安門事件(切断 http://egg.5ch.net/test/read.cgi/bizplus/1526353447/9
10: 名刺は切らしておりまして [] 2018/05/15(火) 14:41:37 ID:XTm7Fkmp 電子メールクライアントって「本」で数えるってはじめて知ったわ http://egg.5ch.net/test/read.cgi/bizplus/1526353447/10
11: 名刺は切らしておりまして [] 2018/05/15(火) 14:44:50 ID:FPAwop5D スノーデンさんもびっくり? http://egg.5ch.net/test/read.cgi/bizplus/1526353447/11
12: 名刺は切らしておりまして [sage] 2018/05/15(火) 15:04:01 ID:Q0Vs+bN8 そもそも読まれて困ることをメールで送るなよ。 http://egg.5ch.net/test/read.cgi/bizplus/1526353447/12
13: 名刺は切らしておりまして [sage] 2018/05/15(火) 15:32:22 ID:1ifc7u4F ヘイモン!! http://egg.5ch.net/test/read.cgi/bizplus/1526353447/13
14: 名刺は切らしておりまして [sage] 2018/05/15(火) 17:33:15 ID:veZ4RoN/ >>3 それサーバとクライアントの接続の話だから。 http://egg.5ch.net/test/read.cgi/bizplus/1526353447/14
15: 名刺は切らしておりまして [sage] 2018/05/15(火) 21:08:12 ID:ua2Rea9k SMTP over SSL POP over SSL 使っとけばいい話やん。これで第1段階の盗聴は防げる。 それにしてもS/MIMEに対応してないせいか、リクナビから来るメールを GMAILで受信すると赤い割れた南京錠が表示される。 リクナビのサーバー管理者クソやわ おまけに最近添付ファイルをZIP暗号化して、別メールでパスワードを送ってくるようになった。 ほんまアホや その点アマゾンから来るメールはしっかり暗号化されている。 http://egg.5ch.net/test/read.cgi/bizplus/1526353447/15
16: 名刺は切らしておりまして [sage] 2018/05/15(火) 21:08:46 ID:a3pDxCpw 多分>>3はメール配信の仕組みを知らない http://egg.5ch.net/test/read.cgi/bizplus/1526353447/16
17: 名刺は切らしておりまして [sage] 2018/05/15(火) 21:17:38 ID:a3pDxCpw MUA <-> MTA <-> MTA <-> … <-> MTA <-> MUA でMUAとMTA間はSSL/TLSで防げるがMTA間の通信がどうなってるかは保証がない MTA間で盗聴された場合に内容の秘匿性を担保するのがPGPとかS/MIMEだが脆弱のあるMUA実装で復号したメッセージが漏出し得るのが今回の脆弱性 http://egg.5ch.net/test/read.cgi/bizplus/1526353447/17
18: 名刺は切らしておりまして [sage] 2018/05/15(火) 21:35:09 ID:EaBcpFWa >>16 よく分からんが、HTMLメールなどのコンテンツを悪用する手口、とあるし、狙った相手の暗号化されたメールの入手が前提、とあるので、on SSLでASCIIだけのメール、ってのはあながち間違いじゃない気が。 http://egg.5ch.net/test/read.cgi/bizplus/1526353447/18
19: 名刺は切らしておりまして [sage] 2018/05/15(火) 22:00:21 ID:uY5qBruL heartbeatでheartbleed speculative executionでspectre emailでefail よく考えるねぇ http://egg.5ch.net/test/read.cgi/bizplus/1526353447/19
20: 名刺は切らしておりまして [] 2018/05/15(火) 22:20:17 ID:wrXqXkl6 RSA2048bit/AESどころかRSA1024bit/DESさえ使われてなかったとは! http://egg.5ch.net/test/read.cgi/bizplus/1526353447/20
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.104s*