メール通信の暗号化を調査:TLS の欠如により何百万ものメールサーバが危機に直面

Millions of Email Servers Exposed Due to Missing TLS Encryption

2025/01/08 HackRead — 世界中の何百万もの電子メール・サーバに影響を及ぼす、深刻なセキュリティ上の欠陥が、ShadowServer の最新調査で明らかにされた。この調査により判明したのは、330万もの POP3 (Post Office Protocol)/IMAP (Internet Message Access Protocol) サーバが、TLS (Transport Layer Security) 暗号化を使用せずに、稼働しているという事実である。

この暗号化の欠如により、一般的なユーザー名とパスワードを推測しようと試みる、データ傍受や辞書攻撃などに対して、大量のメール・サーバが脆弱になっている。脆弱なホストの数では、米国が1位であり、約 90万台の脆弱なサーバがインターネット上に晒されている。僅差で続くのはドイツの 50万台と、ポーランドの 38万台である。

SUMMARY

  • メールサーバにおける重大な脆弱性:世界中で 330万以上のメールサーバが TLS 暗号化を使用しておらず、ユーザー名/パスワード/メール・コンテンツなどが、送信中に傍受されるという危険な状態にあることが判明した。
  • 影響を受けるサーバが最も多い地域:米国には 90万近くの公開サーバがあり、それに続くのが、ドイツの 50万以上と、ポーランドの 38万以上である。ShadowServer の調査結果が示すのは、この問題が世界的な規模であることだ。
  • 脆弱性の詳細:電子メールへのアクセスにおいて、一般的に使用される POP3/IMAP プロトコルが TLS 保護されない場合には、データ傍受や辞書攻撃のリスクにさらされる可能性がある。
  • 緩和策:ShadowServer が推奨する、電子メール通信を保護するための緩和策は、TLS を有効化することである。また、これらのプロトコルの必要性の再検討や、VPN の内部へのサービスの移行も推奨されている。
  • より広範なセキュリティ対策:専門家たちが強調するのは、強固なパスワード・ポリシーの導入/定期的な監査に加えて、外部からの攻撃対象領域に対処する積極的な監視などの、高度な対策の重要性である。

この問題は、なぜ発生したのか?

POP3 (Post Office Protocol 3)  および IMAP (Internet Message Access Protocol) は、 電子メールへのアクセスを円滑にするためのプロトコルである。POP3 は、ユーザーのデバイスへと、電子メールをダウンロードするものである。IMAP は、複数のデバイスからの、メールへのアクセスを可能にするものだ。これらのプロトコルは、 通信チャネルが開いた状態を維持するため、TLS 無しで稼働すると盗聴の脆弱性が生じる。

ちなみに、TLS とは、通信チャンネルを暗号化する基本的なセキュリティ・プロトコルであり、インターネット上でやり取りされるデータの機密性/完全性を確保するものだ。これらのメール・サーバが、TLS 無しで使用される場合には、深刻なリスクが生じることになる。

TLS が無効化されている場合には、ユーザー認証情報やメール内容が平文で送信されるため、ネットワーク・トラフィックを監視している者であれば、誰でも簡単にアクセスできてしまう。つまり、ユーザーのプライバシーが侵害されるだけではなく、一般的なパスワードを試す攻撃者が、メール・アカウントへの不正アクセスを試みる、パスワード推測攻撃のきっかけにもなり得る。

影響を受ける組織に対して Shadowserver が推奨するのは、IMAP/POP3 サービスの TLS サポートを、直ちに有効化することである。さらに、これらのサービスの必要性を評価し、VPN (Virtual Private Network) の内部に移行するなど、代替ソリューションを検討することも推奨している。

なお、TLS 暗号化を有効にすることは重要であるが、それだけでは全ての攻撃を防ぐことはできないことを、認識することも重要である。進化する脅威から電子メールシステムを保護するためには、より強力なパスワード・ポリシーや。定期的なセキュリティ監査などの、信頼性の高いセキュリティ対策の採用が必要となる。

Outpost24 の CISO である Martin Jartelius は、この問題について以下のようにコメントしている;

Martin Jartelius — 繰り返しになるが、すべての人々に注意を促したい。シンプルかつ費用対効果の高いセキュリティ対策とは、外部からの攻撃対象領域を監視し、適切なコンフィグレーションを確認し、その状態を維持することである。

最新メール・クライアントの大半は、楽観的な視点で TLS を使用している。つまり、暗号化された接続の試行から始めるため、システムが暗号化オプションをサポートしている場合には、現実的な影響が部分的に緩和されることになる。

ただし、メール通信のセキュリティを確保するためには、接続するクライアントを過度に信頼すべきではない — Martin Jartelius

ShadowServer の調査により、TLS 暗号化を使用していない、330万以上のメール・サーバの存在が明らかにされました。何故なのかは分かりませんが、これが現実です。よろしければ、Mail で検索も、ご参照ください。