脆弱性関連情報取扱い:脆弱性関連情報の調査結果:IPA 独立行政法人 情報処理推進機構本資料は、JVNで公表した「JVN#19445002: APOP におけるパスワード漏えいの脆弱性」について解説するものです。 APOP は、メールサーバからメールを受信するプロトコルである POP3(Post Office Protocol-Version 3) で使用できる認証方式の一つです。この APOP 方式では、メールの受信に利用するパスワードを、通信路上で秘匿して取り扱うため、本来であれば、通信を盗聴されてもパスワードが漏えいすることはありません。 APOP 方式に、MD5 ハッシュ衝突に基づく攻撃手法が発見されました。このため、ユーザがなりすましたメールサーバに誘導された場合、メールの受信に利用するパスワードが解読され、漏えいする可能性があります。
