電子メール暗号化プログラムに脆弱性の指摘（ICZ社）

　チェコのプラハに本拠を置く情報技術会社ICZ社（従業員500人）が3月20日、暗号化された電子メール・メッセージの送信に最も広く使用されているプログラムPGP（Pretty Good Privacy）に脆弱性を発見したと発表した。仮にその指摘が事実だとしたら、暗号化された電子メー

国際

2001.3.29 Thu 12:00

　チェコのプラハに本拠を置く情報技術会社ICZ社（従業員500人）が3月20日、暗号化された電子メール・メッセージの送信に最も広く使用されているプログラムPGP（Pretty Good Privacy）に脆弱性を発見したと発表した。仮にその指摘が事実だとしたら、暗号化された電子メールの送信者が使用した秘密のコードを悪意ある人物に盗まれる危険性がある。ICZ社の声明文によると、その脆弱性を指摘したのは同社の暗号作成者Vlastimil Klima氏とTomas Rosa氏だ。彼らは、チェコ政府に依頼されて安全な通信の調査を行っている時に発見したという。同社は、3月23日までに脆弱性に関する技術論文を同社のホームページに掲載する予定だ。

　PGPは、メッセージの暗号化用と解読用の二つ鍵を使用する暗号化方式だ。指摘された脆弱性は、そのコード自体を破るものではなく、ユーザが秘密に所有する鍵の一つを侵入者が盗む恐れがあるというものだ。通常、秘密鍵はたとえ侵入者がコンピュータのアクセス権限を奪取したとしても、利用することはできない。理由は、スクランブルがかけられているからだ。ICZ社はそのスクランブルを除去する方法があると述べているが、まだ詳細は伏せられたままだ。

　企業や個人ユーザに対しPGPプログラムのライセンス供与を行っているNetwork Associates社のPGP技術部門担当副社長Mark McArdle氏は「指摘された不具合が事実だとしたら、影響を受けるのは主に電子署名だろう。つまり、侵入者が送信者になりすまして通信を行うことが可能になる」とし、その脆弱性を調査すべく技術者チームを任命したと述べた。さらに「今回の指摘を分析し、システムが十分に堅牢であることを確信したいと思う」と語った。