研究者らは、Mac および iOS 上の Apple Mail、および Mozilla Thunderbird の HTML レンダリングに脆弱性を発見しました。この脆弱性により、攻撃者は暗号化されたメール メッセージから復号化されたプレーン テキストを抽出できる可能性があります。
ほとんどのメールは暗号化されずに送信されますが、多くの企業や個人は、プライベートな会話のためにS/MIMEやPGPで暗号化されたメール通信を利用しています。今回新たに発見されたセキュリティホールは、本来プライベートであるはずのメールの会話のセキュリティを脅かすものです。
Apple Mail、iOS Mail、Mozilla の Thunderbird クライアントに影響を与える主な問題は、マルチパート応答を使用して HTML レンダリングの問題を悪用する方法です。
攻撃者が個人から暗号化された電子メールの内容を入手した場合、送信者の秘密の暗号化キーにアクセスすることなく、その暗号化されたテキストをユーザーに送り返し、復号化されたプレーンテキスト形式を公開することが可能になります。
基本的に、攻撃者は3つの部分を送信します。つまり、HTML <img> タグ宣言の一部、暗号化されたテキスト文字列、そして画像タグの終了HTMLです。これにより、メールクライアントは暗号文を復号し、偽画像のソースURLとして表示します。
ユーザーがローカルクライアントでメールを開くと、画像を読み込むためのURLを取得しようとします。攻撃者のサーバーはこのリクエストをログに記録し、復号されたコンテンツのコピーを保管しています。明らかに、このURLのドメインは攻撃者によって制御されており、この例では「efail.de」となっています。
AppleのMac用メールアプリ、そしてiPhoneとiPadのメールアプリに存在するこの脆弱性は、既に開発が進められているソフトウェアアップデートで修正可能です。macOSのGPGプラグインも、これらの攻撃を軽減するためのアップデートを近日中にリリースする予定です。ただし、この脆弱性を悪用できるのは、悪意のある人物が既に暗号化されたS/MIMEまたはPGPメールにアクセスできる場合のみであることにご注意ください。
この攻撃は、暗号化されたメールを送信した人物に連絡を取ることを前提としています。突然誰かにメールを送信し、サーバーに復号されたコンテンツのストリームを受信させることは不可能です。メールがグループ会話の一部である場合、攻撃者は復号を実行するためにチェーン内の1人だけを狙えばよいため、通信が侵害される可能性が高まります。
この脆弱性の標的になるのではないかと心配な場合は、Appleが公式にアプリをアップデートしてこの抜け穴を塞ぐ前に、リモートコンテンツの読み込みを無効にすることで緩和策を講じることができます。Mac版のApple Mailの場合、メールの環境設定にある「メッセージ内のリモートコンテンツを読み込む」というトグルスイッチで無効にできます。iOSの場合は、iOSの設定にある「リモート画像を読み込む」という設定です。より強力な対策としては、メールクライアントからPGP鍵を完全に削除し、アプリがエンコードされた文字列を復号できないようにすることも可能です。
EFAILの研究者は、HTMLレンダリングの問題に加えて、S/MIME標準仕様自体のより技術的な脆弱性も公開しました。これはAppleのクライアントに加えて、20数種類のクライアントに影響を与えます。これはより技術的な欠陥であり、EFAILのウェブサイトで詳細をご覧いただけます。長期的には、この脆弱性を包括的に修正するには、基盤となるメール暗号化規格のアップデートが必要になります。
Apple のニュースをもっと知りたい場合は、YouTube の 9to5Mac をご覧ください。
fastcin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
