【対策あり】iPhoneやMacのメールアプリに「eFail」と呼ばれる脆弱性

    メール

    メール
     
    iPhoneやiPadの標準メールアプリ、Macのメールアプリ、Mozilla Thunderbirdなどで、暗号化されたメッセージが悪意ある攻撃者に読み取られてしまう「eFail」と呼ばれる脆弱性が発見されました。MacやiOSでの対処法もご紹介します。

    暗号化されたはずのメッセージ内容を読み取られる

    発見された脆弱性「eFail」は、「S/MIME」と「PGP」と呼ばれる、以前から使われている暗号化方式で送信されたHTMLメッセージに、画像を装った不正なタグを埋め込むことで、メッセージの内容が悪意ある攻撃者に読み取られてしまう、というものです。iOSのメールアプリ、Macのメールアプリ、Mozilla Thunderbirdなどが影響を受けます。
     
    「eFail」は、ドイツのミュンスター応用科学大学のITセキュリティ研究者、セバスチャン・シンゼル氏によって発見されました。
     

    悪意あるHTMLタグを埋め込まれることによる脆弱性

    「eFail」の概要は、攻撃者が受信した暗号化メッセージへの返信メッセージに、不正なHTMLタグを埋め込んで返信することで、メールアプリがHTMLタグを処理する際に、攻撃者が埋め込んだURLにメッセージ内容が読み取られてしまう、というものです。
     
    eFail 9to5Mac
     
    脆弱性としては、比較的影響する範囲が小さいものですが、セキュリティの面では問題があります。

    iOS「メール」アプリでの対処方法

    「eFail」は、macOSやiOSのアップデートによって対処可能な脆弱性であり、近日中にAppleから対応版が提供されると考えられます。それまでの間、一時的にリスクを下げるための対処方法をご紹介します。
     

    iOSのメールでの対処方法

    設定アプリから、「メール」で、「サーバ上の画像を読み込む」をオフ(白)にします。
     
    iOS メール
     

    macOSでの対処方法

    Mac標準メールアプリに「GPGTools/GPGMail 」プラグインが入っている場合、削除する必要があります。この操作には、Macの管理者権限が必要です。
     

    1. メールアプリを終了させます。
    2. Finderでデスクトップを表示し、「移動」メニューから「フォルダへ移動」を開きます。
    3.  
      Finder
       

    4. 「フォルダの場所を入力」の欄に「/ライブラリ/Mail/Bundles」(見つからない場合は「~/Library/Mail/Bundles」)と入力し「移動」をクリックします。
    5.  

    6. 「GPGMail.mailbundle」ファイルが見つかれば、ごみ箱にドラッグ&ドロップしてファイルを削除します。

     
     
    Source:9to5Mac, iDownloadBlog, Forbes
    Photo:Apple
    (hato)

    この記事がお役に立ったらシェアお願いします
    目次