JPCERT コーディネーションセンター

メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起

各位

JPCERT-AT-2018-0023
JPCERT/CC
2018-05-15

JPCERT/CC Alert 2018-05-15

メールクライアントにおける OpenPGP および S/MIME のメッセージの取り扱いに関する注意喚起

https://www.jpcert.or.jp/at/2018/at180023.html


I. 概要2018年5月14日 (現地時間)、メールクライアントにおける OpenPGP およびS/MIME の取り扱いに関する問題について、発見者が特設のサイトを通じて公表しました。発見者はこの問題を「EFAIL」と命名しています。

EFAIL
https://efail.de/

発見者によると、この問題を悪用された場合、第三者が、細工した暗号化メールのメッセージをユーザのメールクライアントで復号化させることによりメッセージの平文を入手する可能性があります。詳細は、発見者が公開している情報を参照してください。


II. 対象この問題の影響を受ける対象となるユーザは次のとおりです。

- メールクライアントにおいて OpenPGP および S/MIME で暗号化したメッセージを使用するユーザ

影響を受けるメールクライアントは、下記リンク先の「ベンダ情報 (VendorInformation )」や各ベンダからの情報などを参考にしてください。

CERT/CC Vulnerability Note VU#122919
OpenPGP and S/MIME mail client vulnerabilities
https://www.kb.cert.org/vuls/id/122919


III. 対策・回避策発見者からは、この問題への影響を軽減するための対策・回避策として、使用しているメールクライアントで次のような対応を実施することが挙げられています。

(1) メッセージの復号をメールクライアント以外の環境で行う
(2) HTML レンダリングを無効にする
(3) メッセージに含まれるネットワークのリソース (アクティブコンテンツや、リモートコンテンツなどと呼ばれることがあります) を自動で読み込まないよう設定する
(4) パッチ、アップデートを適用する

2018年5月15日現在、JPCERT/CC では、メールクライアントや、OpenPGP および S/MIME において、アップデート等の情報の公開は確認できておりません。使用しているメールクライアントのベンダや配布元などの情報を確認し、対策の施されたバージョンが公開されているか確認することをおすすめします。


IV. 参考情報
Japan Vulnerability Notes JVNVU#95575473
OpenPGP および S/MIME メールクライアントにメッセージの取り扱いに関する脆弱性
https://jvn.jp/vu/JVNVU95575473/

EFAIL
Efail: Breaking S/MIME and OpenPGP Email Encryption using Exfiltration Channels
https://efail.de/efail-attack-paper.pdf

CERT/CC Vulnerability Note VU#122919
OpenPGP and S/MIME mail client vulnerabilities
https://www.kb.cert.org/vuls/id/122919

US-CERT
OpenPGP, S/MIME Mail Client Vulnerabilities
https://www.us-cert.gov/ncas/current-activity/2018/05/14/OpenPGP-SMIME-Mail-Client-Vulnerabilities


今回の件につきまして当センターまで提供いただける情報がございましたら、ご連絡ください。

==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter