「PGP」「S/MIME」に脆弱性

コンピュータディスプレイ

電子メールの暗号化に使われるOpenPGP、S/MIMEに脆弱性

米電子フロンティア財団によると、電子メールの暗号化として一般的なPGPとS/MIMEに、暗号化されたHTMLメッセージを攻撃者が平文で入手できてしまう脆弱性があると報告されています。
脆弱性はドイツの大学などの研究チームが発見し、EFAIL と命名した電子メールクライアントがHTMLコードを読み取る方法に関連する脆弱性が存在するそうです。

JPCERT
メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起

https://www.jpcert.or.jp/m/at/2018/at180023.html

EFAILとは?

EFAIL攻撃ではHTMLメールなどのコンテンツを悪用する手口で平文が抽出される可能性があり、まず攻撃者はネットワークトラフィックの盗聴や電子メールアカウントのハッキングといった手口で、狙った相手の暗号化されたメールを入手します。その後、脆弱性を突いて入手したメールに不正なHTMLタグを埋め込むなどの手を加え、被害者の電子メールクライアントに送信する手口で、メールの内容を復号化して、メール内容を読み取ることができてしまうという。

EFAILの影響

研究チームが行ったテストでは、OpenPGP電子メールクライアントでは28本中10本、S/MIME電子メールクライアント35本のうちの25本に脆弱性が存在しているという結果が報告されています。企業で使われていることも多いOutlookやGmailなども該当していて、中でもApple Mail、iOS Mail、Mozilla Thunderbirdは、暗号化されたメールの平文を直接的に抽出される可能性があるとしています。

脆弱性の修正

メーカーには、2017年10月から2018年3月に連絡を取っているそうですが、明確な修正方法が確定していないようです。

対策

PCの場合はHTMLレンダリングを無効にすることやPGPを使用せずに他の暗号化ソフトウェアを使用することを推奨しています。脆弱性を突く攻撃手法がimgなどのHTMLタグが使用されていることから、HTMLレンダリングやリモートコンテンツの読み込みを無効にすることが対策のひとつと言われています。ただし、無効にすることで、一時的にもHTMLメールは正しく表示しなくなります。

Outlookの場合

Outlookでは、[ファイル]→[オプション]→[セキュリティセンター]→[セキュリティセンターの設定]からHTMLメールの設定を変更します。

Thunderbirdの場合(使っていないので曖昧です)

ThunderbirdはデフォルトがHTMLメールをテキストに変換しているようです。
[メニュー]→[表示]→[メッセージの表示形式]→[オリジナルHTML]で設定を変更します。

Apple Mailの場合(Mac自体は使っていますがApple Mailを使っていなため、こちらも曖昧です)

MacでApple Mailを使用している場合、PGPプラグインをインストールしているかどうかになるようです。PGPプラグインをインストールしている場合はアンインストールする必要があります。

  1. メールアプリが動作していればメールアプリを終了させます
  2. Finderでデスクトップを表示して[移動]→[フォルダへ移動]を開きます
  3. [フォルダの場所を入力]の欄に/ライブラリ/Mail/Bundles(もしくは~/Library/Mail/Bundles)と入力し[移動]をクリックします
  4. GPGMail.mailbundleファイルが見つかれば、ごみ箱にドラッグ&ドロップしてファイルを削除します

次に、HTMLメールの画像を表示しない設定を行います。

  1. Appleメールを開き[環境設定]をクリックします
  2. [表示]→[HTMLメッセージにリモートイメージを表示する]のチェックを外します

gmailなどのブラウザメールはどうなるのでしょう?
PCではイベントとかPRっぽいもの以外、HTMLメールはそんなに届かなくなってますが、スマートフォンだとどうでしょう?

iPhoneの場合

[設定]→[メール]→[サーバ上の画像を読み込む]をオフに設定することのようです。

セキュリティ関連の対策などは日々変化することがあります。最新の情報を確認するようにしてください。