APOPの脆弱性

ネットワーク/セキュリティ

APOP脆弱性が見つかったようです。MD5ハッシュのコリジョンを利用してパスワードを解読できるというものです。脆弱性を突くためにはman-in-the-middle attackを行う必要があるのでそれほど簡単ではありませんが、プロトコルそのものの脆弱性なので直接の対策は難しそうです。
APOPを使用するとパスワードがクリアテキストでネットワークを流れることはありませんが、メール本文は相変わらずクリアテキストで流れるので通信の秘匿という意味では十分ではありません。私の会社のメールサーバはPOP3 over SSLに対応してあるのでもうAPOPはほとんど使っていません。世の中の流れとしても、多くのISPPOP3 over SSL(TLS)に対応してきているのでそちらを使う方がよいでしょう。

APOP方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について(IPA)
Bugtraq: APOP vulnerability