トピックス

ここで少し昔話背景の説明をすると、電子メールはいわゆるインターネット黎明期から存在するサービスで、ftpやtelnetなどと同様、平文でのパスワード認証が普通であった、牧歌的だった時代から続いているサービスです。その後の時代の要求に従い、認証は平文からAPOPやCRAM-MD5, DIGEST-MD5といった暗号化方式を採用する方向へと進んでいきましたが、メールの内容の重要性の高まりとSSLの登場により認証だけでなく通信全体を暗号化する方向へと変わっていきました。さらにクライアント側での暗号化方式の認証への対応の差や、乱立した認証方式に全て対応しようとするとサーバ側に生パスワードを保存しなければならない等の事情もあいまって、平文認証はSSLとの組み合わせという形で今なお現役の認証方式として残り続けています。

さて、ここまで読めばなんとなく気づくかと思いますが、メールサービスをターゲットとして、

OpenSSLの脆弱性を突いて秘密鍵の情報を入手する
入手した秘密鍵を使って偽メールサーバを立てる
この偽サーバのIPアドレスを返すようにDNSポイズニングを仕掛ける
アクセスを中継してユーザには通常のサーバと見分けがつかないようにする

という中間者攻撃を仕掛ければ、メールサーバとの通信内容を盗聴することができ、さらにユーザが平文認証を使っているという条件が重なると、その証明書が有効な期間は偽サーバを経由するメールアカウントのパスワードが盗み放題になってしまいます。

この状況に対処するためには、サーバ側では

OpenSSLを脆弱性の無いバージョンにアップデートする
SSL証明書を再発行する
それまで使っていた証明書はRevokeする

という対応が必要です。Revokeまでやらないと、盗み取った古い証明書を使った偽サイト側も相変わらず正規のサイトと判定され、問題のある状態が継続されるはずです。

ユーザ側でこの問題に対処するには、SSL通信を使っている場合でも暗号化された認証方式を利用するようにします。例えばThunderbirdなら、

[ツール]→[アカウント設定]を開く
各アカウントの「サーバ設定」をクリックする
セキュリティ設定で接続の保護を"SSL/TLS"に、認証方式を"暗号化された認証方式"にする

という手順で設定できます。OutlookはExpressの頃から統合 Active Directory 認証およびローカル Windows アカウント認証のみをサポートとなっており、手元のOutlook 2010で試したところ、Courier-imapサーバでは暗号化された方式での認証はできないようでした。

さらっと書いてしまいましたが、非MSな*1メールサーバでOutlookに対応しようとするとSSL+平文による認証を許可するしか無い、というのが現状で、今回のOpenSSLの脆弱性のインパクトはかなり大きいと言えるでしょう。

*1 という書き方でいいのかやや自信ありません

[ツッコミを入れる]

ツッコミ・コメントがあればどうぞ! 名前欄にメールアドレスは入れないでください。 URLっぽい文字列が入っているとかなりの高確率でSPAM判定されますので、ご注意ください。