2018年05月15日に初出の投稿

Last modified: 2018-05-15

電子メールの暗号化に広く使われている「PGP」「S/MIME」の両規格に、暗号化されたメッセージを攻撃者が平文で入手できてしまう脆弱性が報告された。米電子フロンティア財団は当面の対策として、電子メールクライアントのPGPを無効にし、別の手段に切り替えるよう勧告している。

暗号化メールを平文で読まれる恐れ、「PGP」「S/MIME」に脆弱性

会社で8年くらい PGP を利用してきて、メールの署名にもフィンガープリントと公開鍵の URI を表記していたのだが、昨年から止めている。結局、8年のあいだに「あなたは使えるようだから、こちらも PGP を使って暗号化します」などと言ってくる人は、セキュリティ関連の会社だろうとサーバ屋だろうとベンダーだろうと、あるいは ISMS やプライバシーマークの審査機関だろうと、誰一人としていなかった。僕が他社のサイトで見つけたフォームの脆弱性を通知した際に、JIPDEC さんとやりとりするにあたって PGP でメールを暗号化したのが唯一の事例だった。要するに、情報セキュリティの実務家ですら殆ど使っていない。ISMS やプライバシーマークの審査員さんと審査レポートや指摘事項の書類をやりとりするときに、暗号化(パスワード付)の ZIP ファイルをやりとりするのが、せいぜいだ。

でも、これを由々しきことだと一概に言えるかどうかは分からない。そもそもメールなんてものでやりとりするから PGP でお互いに鍵をやりとりするなんて面倒臭いことが必要となるわけであって、最初から全ての通信が暗号化されているチャット・サービスを使えば事足りると言えなくもないからだ。しかも、チャット・サービスへログインするにあたって、いまどきは HTTPS でアクセスするのが当然となっているが、メールの方はいまだに暗号化されていない POP3 を使っている企業が大半を占めている。暗号化されていないパスワードを通信してメールサーバへアクセスしているような人々が、PGP でメールを暗号化しているなどと言ったところで、頭隠してケツの穴がなんとやらだ(そこまで汚い表現ではなかったか)。

ともあれ、PGP という暗号化の仕組みやライブラリという範囲にまで広げたら、同じ仕組みは色々な他のメッセージングにも応用されているのだから、メールのやりとりで PGP など殆ど使わないからといって、情報セキュリティやプライバシーの保護について直ちに何かが言えるわけではない。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook