OCN利用者はメールソフトのSSL設定をオンにしてください パスワードが漏洩します

まとめました。
エンタープライズ SSL パスワード セキュリティ OCN A-POP
167
2014年9月
@seaki
Browsing: OCNメールの一部サービス(プロトコル)提供終了について | OCN ocn.ne.jp/info/announce/…
リンク www.ocn.ne.jp 15 users 92 OCNメールの一部サービス(プロトコル)提供終了について | OCN キーワードを使用したこのページの内容を表す文章
先に結論から
Hiromitsu Takagi @HiromitsuTakagi
解説 メール受信には90年代からAPOPプロトコルが使われてきた。これは、パスワードを生で送信せずチャレンジレスポンス方式でMD5ハッシュして送信するもので、ネットワークが盗聴されても大丈夫なものとされてきた。そのため、メール送受信にSSLを使わないのが普通という時代が続いた。
Hiromitsu Takagi @HiromitsuTakagi
公衆Wi-Fiの普及で盗聴リスクが高まり、メール送受信にもSSLをとの機運が高まり、メールソフト側の対応も済んでいたのに、日本のISPはなかなかSSL化を進めなかった。彼らの言い分は、メールはどのみち暗号化されずに流れるし、パスワードはAPOPで保護されているというものだった。
Hiromitsu Takagi @HiromitsuTakagi
その後、電通大の研究グループによりAPOPの脆弱性が指摘される。MD5の衝突を用いることで通信路上の攻撃者はパスワードを一定の確率で解読できてしまうことが指摘された。2007年、IPAはこの脆弱性を公表 jvn.jp/jp/JVN19445002… し、注意喚起を出した。
Hiromitsu Takagi @HiromitsuTakagi
2007年の注意喚起では次のように呼びかけられていた。 APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起についてipa.go.jp/security/vuln/… 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。
リンク www.ipa.go.jp 68 users 2 IPA 独立行政法人 情報処理推進機構:脆弱性関連情報取扱い:APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について 情報セキュリティ関連情報のユーザー、管理者、技術者に向けた発信、その前提となる情報収集、調査分析、研究開発、技術評価等の実施
Hiromitsu Takagi @HiromitsuTakagi
3年後の2010年、OCNはようやくPOPとSMTPのSSL対応をしていたようだ。 メールソフト利用時のOCNメール送受信がSSLでの暗号化に対応しました 2010年11月25日 ocn.ne.jp/info/announce/… しかし、これは「上級者向け」という位置付けだった。
Hiromitsu Takagi @HiromitsuTakagi
今現在でも、OCNは「ベーシックガイド:メール編」tech.support.ntt.com/ocn/mail/basic… で「通常の接続」の設定として「SSL 利用しない」と説明。その下に「SSL通信による接続」を「上級者向け」としている。 pic.twitter.com/M8WyC5fq6w
拡大
リンク tech.support.ntt.com 5 users 5 メールの仕様と基本情報(ベーシックガイド)|OCN設定サポート OCNのメールの設定、インターネットの接続設定、OCNドットフォン(IP電話)の設定などについて詳しくご案内いたします。
Hiromitsu Takagi @HiromitsuTakagi
そして「OCN設定サポート」の「メールの設定:メールの新規設定」tech.support.ntt.com/ocn/mail/suppo… にある一般向けの丁寧な設定方法の解説は、どのOSのコースを選んでも、SSLを使用しない設定を紹介している。 pic.twitter.com/anQsrJSwpm
拡大
Hiromitsu Takagi @HiromitsuTakagi
MacOS の場合の説明画面。 「SSLを使用」を「チェックしない」と指示。 「認証:パスワード」は、APOPを使わない方法(MD5ハッシュすらしない、生でパスワードを送信する方法)を指定している。 pic.twitter.com/xqpC490MwN
拡大
Hiromitsu Takagi @HiromitsuTakagi
iPhoneの場合の説明画面。 「SSLを使用」を「オフにする」と指示。 「認証」に「パスワード」とあるのは、前ツイートと同じ。 pic.twitter.com/WolQF1XKNT
拡大
Hiromitsu Takagi @HiromitsuTakagi
この画面の冒頭部分に、「 基本情報が不明な場合や、暗号化通信(SSL)を利用する場合の設定値は、下記のページをご確認ください。」とあるが、そのリンク先は、さっきのページに戻るだけになっている。 pic.twitter.com/zUqnhfQIXj
拡大
Hiromitsu Takagi @HiromitsuTakagi
ここまでは、APOPに加えてSSLを使いたい人が使う話であったが、2014年9月、OCNはAPOPの終了を告知した。 「送受信ができなくなりますので、以下のページを参考にメーラー設定をご確認の上、サーバ情報などの変更を」と誘導。 pic.twitter.com/SeEANT4cdX
拡大
Hiromitsu Takagi @HiromitsuTakagi
セキュリティ強化を目的といたしまして、2014年12月19日をもって提供を終了」とあるように、APOPの脆弱性に対処したつもりと思われるが、APOP廃止は、前掲IPAの注意喚起の通り、SSL併用が当然の前提であるのに、誘導されるリンク先は、先のSSLをオフにせよとの説明だった。
Hiromitsu Takagi @HiromitsuTakagi
このことが12月7日にツイッターで話題になると、翌8日、OCNは、この「提供終了について」の画面を微修正した。修正内容は、リンク先を変えただけだった。 更新履歴:2014年12月8日 「メール設定の確認」のリンク先を更新しました。 pic.twitter.com/JW6Hs2PNtS
拡大
Hiromitsu Takagi @HiromitsuTakagi
リンク先は今現在こうなっている。 「SSLが有効に設定されているか確認をといった記述はなく、終了予定のサービス(「APOP」「CRAM-MD5」「POP before SMTP」)を設定しているか確認したいなどという題目 pic.twitter.com/jOSfSYDz1y
拡大
Hiromitsu Takagi @HiromitsuTakagi
APOPを廃止するからには、SSLの設定が必須になることを告知するのが当然なのに、此の期に及んでなおそれを言わないというのは、何の責任を回避したいがためなのか?
Hiromitsu Takagi @HiromitsuTakagi
12月20日が来て接続エラーに気づいた大量の人々が一斉にSSLオフでの設定に促される最悪の事態は回避されたが、9月の告知で既にSSLオフで設定してしまった人たち(彼らのパスワードは既に公衆Wi-Fiで流れている)に向けて、9月の告知の誤りを訂正して再告知する義務がOCNにはある。
残りを読む(51)

コメント

Takei @takei 2014年12月9日
poodle攻撃とごっちゃになって「SSL接続は危険!」となってしまった?(違)
畿<ミヤコ> @tmmiyako 2014年12月9日
ひろみちゅさんとか皆さんがご高説を垂れ流してくれるのはいいんだけど、結局一番重要な「どのページを見て設定すればいいのか」がとっ散らかって分かりにくいったら…
うてん。 @uten00 2014年12月9日
言ってることは至極まっとうなんだけど高木の人は酷いセキュリティの相手には酷く口が悪くなるから印象すごく悪くなるな。
うてん。 @uten00 2014年12月9日
メアドが aaa@bbb.ocn.ne.jp ならアカウント名をそれにする。 送信SMTPサーバに smtp.ocn.ne.jp、受信POP3サーバに pop.ocn.ne.jp を指定。 メールソフトによって STMPS POP3S SPA といった項目のチェックを「入れる」。そんだけ。
うてん。 @uten00 2014年12月9日
あとSSLとかTLSとかもか。この辺の表記はメールのソフトによって違うからまあどれかが書かれてるだろう。
柴宮両兵衛(伊予守・重高・幻鶴) @ShibamiyaRyobee 2014年12月9日
応急処置はSSL設定しておくとして,プロバイダの変更を検討するのが最善だな
R SATO(佐藤 玲) @raysato 2014年12月9日
まとめられてました&IPAのAPOPに関する調査研究を行っていましたので補足を。2007年時点で「APOPだからPOP3でも安全」が崩れました。その対処は「サーバ証明書を検証した上でPOP3Sを使ってね」であり、当時から今まで代わりはありません。APOPを外しただけではパスワードを丸裸したも同然で、サービスの劣化と言い切って良いです(てっきりマニュアル等でSSL/TLS前提の設定になっていると思ってました)。
unimog @frescano 2014年12月9日
これに限らずプロバイダの付帯機能はシステム設計サービス設計が老舗温泉旅館状態なんで、さくらのメールボックスとかにとっとと移行するのが後々も楽ちん
Tsuyoshi CHO @tsuyoshi_cho 2014年12月9日
まあ、Gmailに吸い上げてるから、いいか。(よくない)
玉兎 @gyokuto 2014年12月10日
#lrt ひかり隼に変えた時 セットでOCNへの変更 おすすめされたけど、避けといて無難だったんだな。 ぐぐったら、対応ひどい とあって避けたんだが。
芋ようかん @sweetpotatopast 2014年12月10日
プロバイダの役目が本当にネット接続だけになってしまったんだなぁ
Jogos Da Frozen @Flivgame 2014年12月10日
おかげで共有するために、それは私のためのより多くの情報を提供します。私は再び戻ってくる. LIKE| <a href="http://www.flivgames.com/">fliv</a>;
Jogos Da Frozen @Flivgame 2014年12月10日
おかげで共有するために、それは私のためのより多くの情報を提供します。私は再び戻ってくる. LIKE| http://www.flivgames.com/
社鳥@SatisFactory @PresiBird 2014年12月11日
そもそも、OCN使っててもOCNメール使ってない私は勝ち組やな・・・つか、ISPなんてネット接続だけ使えれば文句ないんじゃぁ・・・メールとかはGmailとかで十分じゃろ・・・
yakunintengoku @yakunintengoku 2014年12月13日
財務省は、改革をあきらめさせるために、 経済にうとい3人の首相と、日本国民を 都合のいい取り方をしたデータで丸め込み、 消費税の増税を強行させてきた。 株価の異様な上昇は、日銀が増刷しているからだ。 しかし、安倍が増税を延期させたことで、 大きな政府の民主党も増税すると言えなくなった。 先日発表されたGDPの修正値も含めて、 財務省の出すデータは、突っ込みどころ満載、 もしくは、それ自体がマズイものばかりだ。
yakunintengoku @yakunintengoku 2014年12月13日
言うまでもなく、安倍を引きずり下ろすのが今回の狙いだ。 経世会・皮脂・装花とともに歩んできた大蔵省、 派遣屋もパチンコ屋もマスコミも電話もネットも警察も統制下にあり、 どんな政策を打ってもうまくはいかない。 景気が良くないのは、不公正がまかり通り、 まともな競争が成り立たなくなっているからだ。 経済観念のない役人が気楽に立案した公共事業が 額面に見合うだけの成果を上げるわけがない。 第三の矢も、楽天とAKBであり、一風堂を支援するとも言っている。
yakunintengoku @yakunintengoku 2014年12月13日
7兆円の男女共同参画、八王子の生活保護費200億円、 改革の余地が残されているからこそ、増税を急いでいる。
ログインして広告を非表示にする
ログインして広告を非表示にする