読売新聞に「メールのパスワード暗号破った…ＡＰＯＰ規格を解読」という記事が出ていることをとある場所で耳にした。そのとある場所での情報交換の結果*1、2007年4月2日くらいにBugtraqにポストされている内容を追試(もしくは発展)したような形になっているっぽい。と同様の方法もしくはその発展形として示されたものらしい。状況的にはこのBugtraqの投稿とは別に独自で見つけたっぽい(そしてたまたまかぶった？)。(ということで修正した)
っていうか、このBugtraqにポストされたもの、当然俺も目を通してて、「そんなもんAPOPの脆弱性というのはあまりにアレゲ」って判断を下していたものだった。MITMな条件下におかなきゃいけないわ、不正なチャレンジ投げつけなければならないわで実現条件が厳しいことと、なによりもこの問題は例のMD5ハッシュ衝突に起因する問題であって、チャレンジレスポンス+MD5なものはすべて該当するんだよな、って点が違和感。
第一、*2ほとんどの人は単なるPOPだし、APOPが暗号化するのパスワード周りだけでメール平文だし。いっそこれを機会にSSL使うなりなんなりに移行すればいいんじゃね？*3
唯一(メール以外で)問題が生じるとすれば、POPのパスワードと他のパスワードが一致している場合がある、という場合ですかね。それはなるべく個別のパスワードを使う、という自衛手段でなんとでもなるような。
(追記)
どうも電通大のとBugtraqポストのとはまったく独立で同じネタにぶちあたったらしい。電通大はIPAの脆弱性ガイドラインに従ったため発見時に発表の手続きが取れず、FSEというカンファレンスでいわばネタセッションの部で発表したようだ。そんなガイドラインなんて知らないBugtraqにポストした方々はメインセッションのほうで発表した。そのあたりの経緯がこちらに書いてあるよ、ととある方から教えていただいた。感謝。
とりあえずMD5を使っている限りはこの類の問題が出てくることが予想されるわけだが、APOPの仕様ではMD5以外は想定されてないっつーか使えないのがともかくも痛い、というわけでRFCの改訂まで発展するか見もの。