OCNがAPOPを廃止へ、多くの利用者が平文でパスワードを送信する事態に?
2014年12月10日 14:04
OCNが提供しているメールサービス「OCNメール」で、セキュリティ強化を目的としてAPOPによる認証の廃止がアナウンスされた。このアナウンス自体は9月に行われたものなのだが、これによって多くの利用者が平文でネットワーク上にメールアカウントのパスワードを送信してしまう危険性があることが指摘されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。
問題点について詳しくはTogetterまとめを参照してほしいが、パスワードを暗号化してやり取りするAPOPを廃止するいっぽうで、利用者にはその代替策となるはずのSSLを使った暗号化通信を「上級者向け」として説明しないどころか、あえてSSLを使用しない設定例を明示しているという点が指摘されている。
SSLを利用せず、POPでの接続を行った場合、パスワードが平文でネットワーク上を流れることになり、たとえば公衆無線LANなどからOCNメールを利用した場合、そのID/パスワードを第三者が傍受できてしまう可能性がある。
スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ
関連ストーリー:
OCNがパスワードを一定期間変更していない一部ユーザーに対しログイン制限を実施 2014年12月08日
OCN IDのサーバー、不正アクセス発覚後に再度不正アクセスを受ける 2013年07月27日
APOPにパスワード漏洩の脆弱性 2007年04月19日