誰も自分のメールを覗き見されることを望んでいません。残念ながら、新たに発見された「Efail」脆弱性により、その可能性が生じる可能性があります。
月曜日の朝、電子フロンティア財団(EFF)は報告されましたEfail は、PGP および S/MIME 暗号化プログラムで暗号化された HTML 電子メールを、たとえ何年も前に送信されたものであっても公開できるということです。これらのツールは、安全な通信を必要とするジャーナリスト、政治家、その他のユーザーによって一般的に使用されています。
関連項目:
「一言で言えば、Efail は HTML 電子メールのアクティブなコンテンツ (外部から読み込まれた画像やスタイルなど) を悪用し、要求された URL を通じて平文を漏洩します」と研究者らは書いています。
「攻撃者は、暗号化された電子メールを特定の方法で変更し、この変更された暗号化電子メールを被害者に送信します。被害者の電子メール クライアントは電子メールを復号化し、外部コンテンツをロードすることで、平文が攻撃者に流出します。」
つまり、ハッカーがメールにアクセスすると、メール内の HTML タグを使用して、ハッカーがアクセスできる方法でメールを誤って復号化するようメール クライアントに促すことができます。
マッシュ可能な光の速度
それで、どうすればいいでしょうか?
EFF の推奨事項: PGP または S/MIME を使用している場合は、それらを無効にし、それらを復号化するツールをアンインストールします。
しかし、セキュリティコミュニティは、こうした措置は必要ないと主張している。
たとえば、ProtonMail は、多くのデータ暗号化および復号サービスにはすでに Efail に対するパッチが適用されていると主張しています。 ProtonMail 自体は、Efail に対して脆弱ではないことを確認しています。
ツイートは削除された可能性があります
セキュリティ会社 Trail of Bits の CEO、Dan Guido 氏は、Efail はクライアントや知識のあるユーザーにとって非常に簡単に検出できるはずだと主張しています。
ツイートは削除された可能性があります
それでも心配な場合は、HTML メールではなくプレーンテキストをいつでも選択できます。あるいは、他の人と同じように Signal を使用することもできます。