公開日:2007/04/19 最終更新日:2007/04/19

JVN#19445002
APOP におけるパスワード漏えいの脆弱性

概要

APOP は、メールサーバからメールを受信する POP3 プロトコルで使用される認証方式の一つです。

APOP には、プロトコル上の問題でパスワード解読が可能なため、第三者にパスワードが漏えいする問題があります。

この攻撃では、攻撃者がメールクライアントの通信先であるメールサーバになりすまし、攻撃者が送信するチャレンジ文字列に対するメールクライアントからの応答を、ユーザに気づかれずに長時間にわたって集める必要があります。そのため、実際の攻撃は比較的困難であると考えられます。


影響を受けるシステム

  • APOP を実装しているメールクライアント

    本件は、プロトコル上の問題であるため、ソフトウェアの修正による根本的な解決はできません。POP over SSL などの暗号化通信を使用することを推奨します。また、POP アカウントに利用しているパスワードが他のシステムのパスワードと共通である場合、他のシステムへのアクセスに利用される可能性もありますので、サービス毎に異なるパスワードを使うことを推奨します。

詳細情報

想定される影響


APOP 認証で使っているパスワードが漏えいする可能性があります。また、そのパスワードが他のシステムのパスワードと共通である場合、他のシステムのアクセスに利用される可能性があります。

対策方法

ベンダ情報

参考情報

  1. IPA
    「APOP」におけるパスワード漏えいの脆弱性
  2. IETF
    RFC1939:Post Office Protocol - Version 3
  3. FSE2007 rump session
    Practical Password Recovery on an MD5 Challenge-Response such as APOP (pdf)
  4. FSE2007 rump session
    Extended APOP Password Recovery Attack (pdf)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2007.04.19における脆弱性分析結果

評価尺度 攻撃成立条件 評価値
攻撃経路 インターネット経由からの攻撃が可能
認証レベル 匿名もしくは認証なしで攻撃が可能
攻撃成立に必要なユーザーの関与 リンクをクリックしたり、ファイルを閲覧するなどのユーザ動作で攻撃される
攻撃の難易度 かなり高度な専門知識や運 (条件が揃う確率は低い) が必要

各項目の詳しい説明

謝辞

本脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき
下記の方がIPAに報告し、JPCERT/CCがベンダおよびCERT/CCとの調整を行いました。
報告者: 電気通信大学 佐々木悠氏、王磊氏、太田和夫氏、國廣昇氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2007-1558
JVN iPedia