IPAからメールを受け取るように、情報処理試験申し込みの時にしています。
4月19日「APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について」
というタイトルのメール受け取りました。
◆概要
・APOP は、メールの受信に利用される認証方式の一つです。・APOP 方式にはパスワードが漏えいする脆弱性があります。
・悪用されると、メールの受信に利用しているパスワードが、SSH やウェ
ブサイトへのログインに利用しているパスワードと同一の場合、不正な
ログインに利用される可能性があります。・プロトコル上の問題であり、現時点で根本的な対策方法はありません。
・回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗
号化通信を利用する」ことです。回避方法が取れない場合「メールのパ
スワードを他のシステムのパスワードと同一にしない」ことで悪用され
た際の被害を軽減できます。
◆詳細については、こちらをご覧ください
URL:http://www.ipa.go.jp/security/vuln/200704_APOP.html
とのことです。
詳細も見てみましたが、もう少し詳しく解説欲しい感じします。
これを読んでいて、以前書いた。
2007-03-23 テクニカルエンジニア(ネットワーク)平成15年午後Ⅱ問2
http://d.hatena.ne.jp/supiritasu/20070323
思い出しました。
この試験問題、テクニカルセキュリティの模擬問題の一部にもなっていました。
WEPの脆弱性について取り上げた問題です。
ですので、APOPの脆弱性をついた問題、
ネットワークかセキュリティの午後問で来そうな感じしますね。
