1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. メールの暗号化規格「OpenPGP」「S/MIME」に「EFAIL」と呼ばれる脆弱性が発見される
セキュリティニュース

メールの暗号化規格「OpenPGP」「S/MIME」に「EFAIL」と呼ばれる脆弱性が発見される

メールの暗号化規格「OpenPGP」「S/MIME」に「EFAIL」と呼ばれる脆弱性が発見される電子メールの暗号化技術として普及する「PGP」「S/MIME」に脆弱性が確認された。

この問題について、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は5月15日、「メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起」を公開した。

これによると、OpenPGP および S/MIME をサポートする電子メールクライアントには脆弱性が存在し、第三者がこの脆弱性を悪用すると、細工したメッセージをユーザーに復号させることにより、暗号化されたメッセージを平文で入手できる可能性がある。

脆弱性は、ドイツのミュンスター応用科学大学などの研究チームが発見し「EFAIL」と命名、詳細をWebサイトで公開している。また、この脆弱性を悪用した攻撃は、発見者により「CBC/CFB gadget attack」(CBF/CBCガジェット攻撃)と名づけられた。OpenPGPにおける同脆弱性は「CVE-2017-17688」、S/MIMEにおける脆弱性は「CVE-2017-17689」となる。

発見者から挙げられた回避策として、JPCERT/CCは、「メッセージの復号をメールクライアント以外の環境で行う」「メールクライアントの HTML レンダリングを無効にする」「メールクライアントのリモートコンテンツの自動読み込みを無効化する」「パッチ、アップデートを適用する」といった対策や回避策を挙げ、これらを行うことで脆弱性の影響を軽減できると述べている。

メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起(JPCERT/CC)
OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性(JVNVU#95575473)
・(英文)発見者によるEFAILの特設サイト
OpenPGPとS/MIMEに脆弱性、暗号化メールを平文で取得可能に(INTERNET Watch)
暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性 (1/2)(ITmedia)

日立ソリューションズの関連ソリューション

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

関連キーワード:

EFAIL

OpenPGP

S/MIME

メール

暗号化

脆弱性

  • 一般社団法人セキュアIoTプラットフォーム協議会とは
  • カテゴリートップへ
  • トレンドマイクロがGDPRの対応に関する調査結果を公開
あなたへのオススメ
2015年3月 9日
2015年2月のIT総括
2015年10月28日
マルバタイジングとは
2013年8月 6日
マイクロソフトが夏季休暇前のセキュリティ対策を呼びかけ
2014年4月17日
OpenSSLに情報漏えいの脆弱性(CVE-2014-0160)が確認される
2015年9月18日
IBMが「メール添付型のマルウェアの通信を多数検知」と発表