IPA、APOP 方式におけるセキュリティ上の脆弱性の注意喚起（japan.internet.com）

2007年04月19日(木) 19時12分

IPA、APOP 方式におけるセキュリティ上の脆弱性の注意喚起（japan.internet.com）

独立行政法人情報処理推進機構（IPA）は、2007年4月19日、メール受信に利用される認証方式の一つである APOP（エーポップ）方式におけるセキュリティ上の脆弱性に関する注意喚起を公表した。

本来、通信を盗聴されてもパスワードが漏洩しないようパスワードを隠した状態で取り扱う APOP 方式だが、プロトコル上に脆弱性がありパスワードが漏洩する可能性があることがわかった。

メール受信用のパスワードと SSH や Web サイトへのログインに使用しているパスワードが同じ場合、不正ログインに悪用される可能性を指摘している。

この脆弱性は、プロトコル上の問題であり、現時点で根本的な対策方法はない。

回避方法は、「POP over SSL」や「Web メール」など、SSLによる暗号化通信を利用する。

上記回避方法が取れない場合は、メールのパスワードをほかのシステムのパスワードと同一にしないことで悪用された際の被害を軽減できる。

プロトコル上の問題のため解決に時間がかかることから、メールクライアントソフトの利用者への影響を考慮し、今回注意喚起として公表された。

最新情報は、こちらで入手できる。
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_19445002.html

■関連記事
Microsoft がセキュリティ勧告、『DNS Server Service』に脆弱性
OS の自動更新、約34％が「シャットダウン時」の適用を希望
Microsoft が4月の月例更新実施、しかし未対応脆弱性情報も
『Microsoft Office』の未対応脆弱性が新たに3件発覚
グレープシティ、.NET Framework ネットワーク通信コンポーネントセットを販売

デイリーリサーチバックナンバー、コラム、セミナー情報等はこちらから
http://japan.internet.com/

デイリーでお届けする最新ITニュースメールの御購読申込はこちらから
http://japan.internet.com/mail/newsletters.html

http://headlines.yahoo.co.jp/hl?a=20070419-00000025-inet-inet