TLS暗号化されていない300万台以上のPOP3およびIMAPメールサーバーが、現在インターネット上に露出しており、ネットワーク・スニッフィング攻撃に対して脆弱である。
IMAPとPOP3は、メールサーバー上の電子メールにアクセスするための2つの方法です。IMAPは、メッセージをサーバーに保存し、デバイス間で同期させるため、携帯電話やノートパソコンなど、複数のデバイスからメールをチェックする場合に推奨される。一方、POP3はサーバーからメールをダウンロードし、ダウンロードしたデバイスからのみアクセスできるようにします。
TLSセキュア通信プロトコルは、クライアント/サーバー・アプリケーションを介してインターネット上で電子メールを交換したりアクセスしたりする際に、ユーザーの情報を保護するのに役立ちます。しかし、TLS暗号化が有効でない場合、メッセージの内容や認証情報は平文で送信されるため、盗聴によるネットワークスニッフィング攻撃にさらされることになります。
ShadowServerのセキュリティ脅威監視プラットフォームShadowserverのスキャンによると、約330万台のホストがTLS暗号化を有効にしていないPOP3/IMAPサービスを実行しており、インターネット経由で送信される際にユーザー名とパスワードを平文で公開しています。
ShadowServerは現在、POP3/IMAPサーバーがTLSを有効にしておらず、ユーザーの暗号化されていないユーザー名とパスワードがスニッフィング攻撃にさらされることをメールサーバー運営者に通知している。
「これは、メールアクセスに使用されたパスワードがネットワークスニッファーによって傍受される可能性があることを意味する。さらに、サービスが公開されることで、サーバーに対するパスワード推測攻撃が可能になる可能性がある」とシャドウズサーバーは述べている。
“私たちからこのレポートを受け取った場合は、IMAPのTLSサポートを有効にするとともに、サービスをまったく有効にする必要があるか、VPNの背後に移動する必要があるかを検討してください。”
オリジナルのTLS 1.0仕様とその後継であるTLS 1.1は、1999年にTLS 1.0が導入され、2006年にTLS 1.1が導入されて以来、20年近く使われてきました。広範な議論と28のプロトコル・ドラフトの開発を経て、インターネット技術タスクフォース(IETF)は2018年3月、TLSプロトコルの次期メジャーバージョンであるTLS 1.3を承認した。
2018年10月の協調発表で、マイクロソフト、グーグル、アップル、モジラは、2020年前半に安全でないTLS 1.0とTLS 1.1プロトコルを廃止すると述べた。マイクロソフトは2020年8月から、最新のWindows 10 InsiderビルドでTLS 1.3をデフォルトで有効にし始めた。
2021年1月、NSAはまた、時代遅れのTLSプロトコルのバージョンと構成を特定し、最新の安全な代替品に置き換えるためのガイダンスを提供した。
「時代遅れの設定は、受動的な復号や中間者攻撃によるトラフィックの改ざんなど、さまざまなテクニックを使って機密性の高い運用トラフィックへのアクセスを敵に提供する」と NSA は述べている。
「攻撃者は時代遅れのトランスポート・レイヤー・セキュリティ(TLS)プロトコルの設定を悪用して、ほとんどスキルを必要とせずに機密データにアクセスすることができる。
Comments