【対策あり】iPhoneやMacのメールアプリに「eFail」と呼ばれる脆弱性
iPhoneやiPadの標準メールアプリ、Macのメールアプリ、Mozilla Thunderbirdなどで、暗号化されたメッセージが悪意ある攻撃者に読み取られてしまう「eFail」と呼ばれる脆弱性が発見されました。MacやiOSでの対処法もご紹介します。
暗号化されたはずのメッセージ内容を読み取られる
発見された脆弱性「eFail」は、「S/MIME」と「PGP」と呼ばれる、以前から使われている暗号化方式で送信されたHTMLメッセージに、画像を装った不正なタグを埋め込むことで、メッセージの内容が悪意ある攻撃者に読み取られてしまう、というものです。iOSのメールアプリ、Macのメールアプリ、Mozilla Thunderbirdなどが影響を受けます。
「eFail」は、ドイツのミュンスター応用科学大学のITセキュリティ研究者、セバスチャン・シンゼル氏によって発見されました。
We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) 2018年5月14日
悪意あるHTMLタグを埋め込まれることによる脆弱性
「eFail」の概要は、攻撃者が受信した暗号化メッセージへの返信メッセージに、不正なHTMLタグを埋め込んで返信することで、メールアプリがHTMLタグを処理する際に、攻撃者が埋め込んだURLにメッセージ内容が読み取られてしまう、というものです。
脆弱性としては、比較的影響する範囲が小さいものですが、セキュリティの面では問題があります。
iOS「メール」アプリでの対処方法
「eFail」は、macOSやiOSのアップデートによって対処可能な脆弱性であり、近日中にAppleから対応版が提供されると考えられます。それまでの間、一時的にリスクを下げるための対処方法をご紹介します。
iOSのメールでの対処方法
設定アプリから、「メール」で、「サーバ上の画像を読み込む」をオフ(白)にします。
macOSでの対処方法
Mac標準メールアプリに「GPGTools/GPGMail 」プラグインが入っている場合、削除する必要があります。この操作には、Macの管理者権限が必要です。
- メールアプリを終了させます。
- Finderでデスクトップを表示し、「移動」メニューから「フォルダへ移動」を開きます。
- 「フォルダの場所を入力」の欄に「/ライブラリ/Mail/Bundles」(見つからない場合は「~/Library/Mail/Bundles」)と入力し「移動」をクリックします。
- 「GPGMail.mailbundle」ファイルが見つかれば、ごみ箱にドラッグ&ドロップしてファイルを削除します。
Source:9to5Mac, iDownloadBlog, Forbes
Photo:Apple
(hato)