(1)POP3とは
POP3はメールクライアントがメールサーバーから受信した電子メールを取り出す使われる通信プロトコルで、登録されたユーザーからの送信であることを確認するために、ユーザーID・パスワードによる認証を行っている。
(2)POP3の認証の課題
しかし、POP3の認証時の通信データは暗号化されていない平文でのやり取りなので、通信データを盗聴されると、簡単にユーザーIDとパスワードを知られてしまい、このユーザーIDが受信した電子メールを盗み見ることができてしまう。
(3)POP3の認証の対策
POP3の認証時にユーザーIDとパスワードが平文でやり取りされてしまう問題の対策としては、パスワードを暗号化して通信するAPOP(Authenticated POP)がある。APOPではパスワード情報からMD5でハッシュ値を生成してサーバーに送るため盗聴によるリスクを下げることができる。
ただ、このAPOPで使用しているハッシュ関数のMD5には脆弱性が見つかり、利用は推奨されておらず、さらにセキュリティ強度の強いハッシュ関数のSHAを使うことや、TLS(SSL)を使い全ての通信データを暗号化するPOP3S(POP3 over SSL/TLS)を利用することが求められている。

[Intermission]
メールサーバーからメールデータを取り出すときの通信プロトコルのPOP3の脆弱性についての問題で、これは情報セキュリティの勉強した人なら常識ですね。
このPOP3のセキュリティ対策としてMD5を使うAPOPが考えられましたが、いまはMD5が使われることはほとんどなく、APOPでSHAを使うことや、TLS(SSL)を使うPOP3Sが主流になっています。
もっとも、最近はクライアント側でメールデータを持つことが情報漏えいのリスクという考え方から、企業ではメールデータをクライアント側に移すPOPではなく、メールサーバーで集中管理し都度メールを見に行くIMAPやWebメールを導入するケースが増えています。(IMAPやWebメールを採用する理由としては、PCとスマホ、タブレットと複数の端末でメールを見られる環境を整備することもあります。)

戻る 一覧へ