OCNがAPOPを廃止へ、多くの利用者が平文でパスワードを送信する事態に?

2014年12月10日 14:04

印刷

記事提供元:スラド

 OCNが提供しているメールサービス「OCNメール」で、セキュリティ強化を目的としてAPOPによる認証の廃止がアナウンスされた。このアナウンス自体は9月に行われたものなのだが、これによって多くの利用者が平文でネットワーク上にメールアカウントのパスワードを送信してしまう危険性があることが指摘されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。

 問題点について詳しくはTogetterまとめを参照してほしいが、パスワードを暗号化してやり取りするAPOPを廃止するいっぽうで、利用者にはその代替策となるはずのSSLを使った暗号化通信を「上級者向け」として説明しないどころか、あえてSSLを使用しない設定例を明示しているという点が指摘されている。

 SSLを利用せず、POPでの接続を行った場合、パスワードが平文でネットワーク上を流れることになり、たとえば公衆無線LANなどからOCNメールを利用した場合、そのID/パスワードを第三者が傍受できてしまう可能性がある。

 スラッシュドットのコメントを読む | セキュリティセクション | セキュリティ

 関連ストーリー:
OCNがパスワードを一定期間変更していない一部ユーザーに対しログイン制限を実施 2014年12月08日
OCN IDのサーバー、不正アクセス発覚後に再度不正アクセスを受ける 2013年07月27日
APOPにパスワード漏洩の脆弱性 2007年04月19日

 

※この記事はスラドから提供を受けて配信しています。

関連記事