-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2018-0023 JPCERT/CC 2018-05-15 <<< JPCERT/CC Alert 2018-05-15 >>> メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起 https://www.jpcert.or.jp/at/2018/at180023.html I. 概要 2018年5月14日 (現地時間)、メールクライアントにおける OpenPGP および S/MIME の取り扱いに関する問題について、発見者が特設のサイトを通じて公 表しました。発見者はこの問題を「EFAIL」と命名しています。 EFAIL https://efail.de/ 発見者によると、この問題を悪用された場合、第三者が、細工した暗号化メー ルのメッセージをユーザのメールクライアントで復号化させることによりメッ セージの平文を入手する可能性があります。詳細は、発見者が公開している情 報を参照してください。 II. 対象 この問題の影響を受ける対象となるユーザは次のとおりです。 - メールクライアントにおいて OpenPGP および S/MIME で暗号化したメッセージを使用するユーザ 影響を受けるメールクライアントは、下記リンク先の「ベンダ情報 (Vendor Information )」や各ベンダからの情報などを参考にしてください。 CERT/CC Vulnerability Note VU#122919 OpenPGP and S/MIME mail client vulnerabilities https://www.kb.cert.org/vuls/id/122919 III. 対策・回避策 発見者からは、この問題への影響を軽減するための対策・回避策として、使用してい るメールクライアントで次のような対応を実施することが挙げられています。 (1) メッセージの復号をメールクライアント以外の環境で行う (2) HTML レンダリングを無効にする (3) メッセージに含まれるネットワークのリソース (アクティブコンテンツや、リモートコンテンツなどと呼ばれることがあります) を自動で読み込まないよう設定する (4) パッチ、アップデートを適用する 2018年5月15日現在、JPCERT/CC では、メールクライアントや、OpenPGP およ び S/MIME において、アップデート等の情報の公開は確認できておりません。 使用しているメールクライアントのベンダや配布元などの情報を確認し、対策 の施されたバージョンが公開されているか確認することをおすすめします。 IV. 参考情報 Japan Vulnerability Notes JVNVU#95575473 OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性 https://jvn.jp/vu/JVNVU95575473/ EFAIL Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels https://efail.de/efail-attack-paper.pdf CERT/CC Vulnerability Note VU#122919 OpenPGP and S/MIME mail client vulnerabilities https://www.kb.cert.org/vuls/id/122919 US-CERT OpenPGP, S/MIME Mail Client Vulnerabilities https://www.us-cert.gov/ncas/current-activity/2018/05/14/OpenPGP-SMIME-Mail-Client-Vulnerabilities 今回の件につきまして当センターまで提供いただける情報がございましたら、 ご連絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJa+md6AAoJEDF9l6Rp7OBIBlYIAJXRLfTnfBGwqpTHrbPs4D4y Lu18/yFuYJ3PaXinT/0BNRSQMeeue/0VTDUijDXrsxyMZjtwbJfsenE6bk6T2NkD Xa+bjlrxM2DFCfcKA2fkIeJ2bkXMG6hjUPkww8lqr8jmLxa08PnxsurOcWU4r2Pa r2dR5zkKMxTd1kNmTs6oE4FyWWdRs8E/NsfLONM5M65Ast5NC1D1E3Fz/3S0Fqa+ NAM0kFOiSplBT0SmULYDA9L0NMgLdJYOLUOxNtfQxIEgrDwZxpPuqY7v3CuXQsVQ KyXonucax+vQLRhxt6L3M5TXpan/YVLndXRH2D32+b29epYB3HiCpMRqyoy0Kp4= =muPw -----END PGP SIGNATURE-----