研究者らは、新たなセキュリティリスク「Efail」が暗号化された電子メールを危険にさらすと述べている
トニー・リストラ著
欧州のサイバーセキュリティ研究者チームが月曜日に発表した新しい論文によると、ハッカーが暗号化された電子メールに侵入する可能性はこれまで考えられていたよりも高いという。
この脆弱性は「Efail」と呼ばれ、プレーンテキストの電子メールで広く使用されているエンドツーエンドの暗号化技術である OpenPGP と S/MIME を破る可能性があります。
同紙によると、この脆弱性は、政府諜報機関の詮索から身を守るために暗号化された電子メールに依存しているジャーナリストや政治活動家などにとって脅威となる。
電子フロンティア財団は、「PGPで暗号化されたメールを自動的に復号するツールを直ちに無効化またはアンインストールする」ことを推奨しています。Thunderbird、Apple Mail、OutlookのPGPプラグインを無効化する方法も提供しています。
さらに、研究者らは「Signalなどの代替のエンドツーエンドの安全なチャネルを使用し、PGPで暗号化されたメールの送信、特に閲覧を一時的に停止する」ことを推奨した。
安全な電子メールサービス「ProtonMail」の開発業者は、自社のサービスはこの脆弱性の影響を受けないと述べ、問題の公表方法に異議を唱えた。
Efailは無責任な情報開示の好例です。@EFFや主要メディアにこの件を大々的に宣伝し、多くの脆弱性(Enigmailなど)が既に修正されているという事実を無視して、無責任な勧告(PGPを無効にする)を発表させるのは、全く責任ある行為とは言えません。
— プロトン(@ProtonPrivacy)2018年5月14日
サイバーセキュリティの専門家らは月曜日の朝も脅威の範囲を評価中であり、EFFは安全対策を「エクスプロイトの差し迫ったリスクが過ぎ去り、より広範なコミュニティによってリスクが軽減されるまでの[一時的かつ保守的な当面の措置]」と呼んだ。
