メールの「送信ドメイン認証」技術に実装上の問題、Googleなどが修正 - ITmedia エンタープライズ
DKIMの検証の一部に実装上の問題が存在していたとのこと。
電子署名を使った電子メールの送信ドメイン認証技術「DomainKeys Identified Mail (DKIM) Verifier」の実装上の問題が原因で、メールが偽装される恐れのあることが分かり、米セキュリティ機関US-CERTが10月24日に脆弱性情報を公開した。
US-CERTによると、DKIMは詐欺メールなどを遮断する目的で、メールのドメイン名とメッセージを関連付けて差出人や組織を確認する技術。この確認のために暗号化された電子署名を使っているが、強度が不十分な1024ビット未満のRSA鍵でDKIM署名を行っている場合、またはテストモードが指定されている場合、攻撃者が暗号鍵を破り、特定組織のドメインを使ったメールに署名できてしまう恐れがある。
US-CERTは対策として、1024ビット未満のRSA署名鍵やテスト鍵を使っている場合、すべて交換するよう勧告。この問題の影響を受けるベンダーとして、米Googleと米Microsoft、米Yahooの3社を挙げている。報道によれば、3社とも10月23日までに問題を修正したもよう。
メールの「送信ドメイン認証」技術に実装上の問題、Googleなどが修正 - ITmedia エンタープライズ
