PGP に脆弱性、メールが盗み見られる危険

セキュリティ研究者たちが、広く使われている暗号化ツール『PGP』(Pretty Good Privacy) に脆弱性を発見した。これにより、重要な Eメールの中身が読まれてしまう可能性があるという。

PGP は、インターネットの暗号化ツールのデファクトスタンダードで、まず破られることはないというのが大方の意見だ。ところが、セキュリティ企業 Counterpane Internet Security Inc. と Columbia University の研究者たちが、PGP で暗号化されたメールに、スクランブルを解かずに手を加える方法を発見したと述べた。

Counterpane の報告によれば、攻撃者はその方法を用い、傍受した暗号メールに手を加えて解読しても読めない状態にし、それを本来の受信者に送りつける可能性があるという。

解読しても読めないため、受信者は再送を要求する。その際、再送を求めるメールに「読めない」元の本文が含まれていれば、それを手がかりとして攻撃者がオリジナルのメール内容を読み取ることができるという。

この脆弱性の発見により、『OpenPGP』標準のアップデートが行なわれ、12日にはリリースされることになっている。

また今回、別の暗号ツール『GnuPG』にも同様の脆弱性が見つかったが、こちらの場合、データが暗号化の前に圧縮されていれば攻撃はかなり防げるという。

今回の脆弱性は「重大」に分類されるものの、これを悪用するのは非常に難しく、研究者たちは PGP ユーザーに対し、返信の際、受信したメールのテキスト本文をそのまま残さないよう呼びかけている。

「GnuPG および PGP ユーザーは、圧縮機能をオフにしてはならないことを知るべきだ。圧縮はデフォルトではオンになっているが、たとえファイルを圧縮しても攻撃を受けるリスクはまったくゼロではない」と、研究者たちは報告の中で述べている。ファイルが圧縮されていてもいなくても、GnuPG と PGP の両方で攻撃が成功する可能性はある。研究者たちによれば、たとえ GnuPG であっても、暗号化されたメールがメッセージ完全性チェックを通らなかったという警告メッセージをユーザーが見ていなければ、攻撃は成功するという。