メーラーはブラウザと比べて非常に単純な事しかできないですしセキュリティーホールなんて起こりようがない気がしていますが、現実問題深刻なセキュリティーホールは起こっているのでしょうか?具体的に起こりそうな事例があれば教えて下さい。
また、こちらは、分かれば教えて頂きたいのですが、もっとも安全なメーラーはどれですか?
ポイントについては、もっとも役に立った方に重点的に配分したいと思っています。
No.1
2652
176
Mozillaは14日、メールソフト「Thunderbird」の最新安定版v31.2.0を公開した。最新版ではMozillaの基準で深刻度が4段階中もっとも高い“最高”の脆弱性3件などが修正されている。
重要度“最高”に分類されたのは、サービス運用妨害に関する問題や不正なメモリ破壊が生じる脆弱性に関する問題などで、“Security Advisories for Thunderbird”にて詳細が公開されている。
そのほか複数の脆弱性に対する修正が施されたほか、返信を含むメールの送信時、望まないメールアドレスが送信に追加されてしまう問題(Bug 1008718)への対処が行われた。
2014/10/15 18:28
http://www.forest.impress.co.jp/docs/news/20141015_671474.html
いたちごっこでしょう。
>メーラーはブラウザと比べて非常に単純な事しかできないですしセキュリティーホールなんて起こりようがない気がしていますが
HTMLメールを表示する際には、ブラウザの機能を使用しているので、ブラウザ側にセキュリティ上の欠陥があれば、ブラウザの危険性をそのまま引き継いでいると考えてよいでしょう。
No.2
52
セキュリティホールはどんな場合においても必ず起こります。
たとえば昨年SSL3.0において深刻な脆弱性(POODLE)が発見されました。
どんなメーラーであろうともメールサーバとの通信にSSL3.0を使用している時点で傍受などの危険にさらされます。これはメーラーの問題ではなく、より根本的な通信規格における問題であるためです。ユーザーである私達には防ぎようがありません。
セキュリティに絶対的な安全は存在しません。現実問題、さまざまなところで問題が発生し続けています。ベネッセの個人情報流出も発生し続けています。これはソフトウェアの安全性が原因ではなく、ユーザー(人間)のアクセス権(入室許可など)が適切に行われていないために発生しています。今日、セキュリティを高めるには安全なソフトウェアを選ぶだけでなくユーザーのセキュリティに対する意識が重要となってきています。
つまり、昔から言われているように知らないメールは開かないなどの対策をご自身で行うことが大切です。このような知識に関しては下記のサイトが参考になるかもしれません。
迷惑メールの対処法|すぐに確認したい事と今後の対策方法
最も安全なメーラーについてはわかりません。私はOutlookを使用しています。ですが数あるメーラーの中からご自身の考えに合ったものを選ぶのが良いと思います。
メーラーの一覧はこちらが参考になるかもしれません。
電子メールクライアントの一覧 - Wikipedia
下記サイトをご覧いただければこれまでのThunderbirdの修正がご覧いただけます。これを見て具体的にどういった問題が発生するか理解するにはセキュリティに関するの各分野における知識が必要不可欠だと思うのですが、残念ながら現在勉強中の私ではお力になれそうにありません。
http://www.rumblingedge.com/?s=thunderbird&searchsubmit=Find
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html
https://bugzilla.mozilla.org/describecomponents.cgi
私も見ても、よく分からない為、具体的な話を聞きたく質問させて頂きました。
メールを受信するだけで(勿論、添付ファイルを実行するなどは論外ですが)、どこまで実際の脅威として存在しているのか気になっています。銀行の残高が無くなったという話をテレビでも聞きますが、添付ファイルを実行してしまったとか、よく分からないフリーソフトを使ったなどばかりです。IEくらい全世界で普及している物については確かにありましたが、Thunderbirdのようなアプリケーションのバグを利用して侵入すると言うことが本当にあり得るのか気になっています。また、現に、これだけ長期間使って何もなく、どこまで本当に脅威があるのかも気になっています。仮に、脅威があり、すでに侵入されている可能性が高いのであれば、それも合わせて知りたいと思っています。特に、BBルータ-、ファイヤーウォールやアンチウイルスソフト(定義ファイルは最新)などあり、そう簡単には脅威とならないのではないかという思いもあります。
No.3
29712
メーラーは一番危ないですね。添付ファイルの実行を容易にされたら。
Thunderbirdは添付ファイルを自動では実行しませんし、常駐型のアンチウイルスソフトとファイヤーウォール(何かが外部に通信する時には反応する)を使っていますので、大丈夫かと思います。もし、現在使っているバージョンにそのようなバグがあれば、具体的なことを教えて頂けると幸いです。
74
47
1
1
>他、現在のバージョンでシビヤな問題になるバグがあれば具体的に教えて下さい。
2015/03/21 22:20:58事前にバグがわかっているということは、現状、バグの報告で名前が挙げられている世界中のエンジニアを上回る存在ということになります。(それがわかった段階で各エンジニアがmozillaへ報告を入れ、修正が行われているワケです。)
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html
上記のリンク先には最新の報告に対する修正済みの対応履歴が上がっているわけですが、直近の日付は2/24となっています。現時点でも世界中のエンジニアからバグの報告が上がっているはずで、それに対する修正が行われていると考えて間違いないと思います。
ご心配ならば、直接、mozillaへお聞きになられたらいかがでしょうか?
当方他、はてなユーザーに重大なバグの存在がわかっている可能性はまずないでしょう!
現在のバージョンと述べましたのは、質問しております、現在私の使っているバージョン意味で使いました。紛らわしくて済みません。(Thunderbird 3.1.20 PortableEdition)
2015/03/21 22:58:42先に挙げられた例につきましては、かなり昔の深刻なバグなようで、3.1.20では対応済みのようです。
また、シビアな状況や懸念についてですが、画像非表示でも実行されたり、アンチウイルスソフト(MSE)やファイヤーウォール(MS純正)、BBルータ(通常販売されている商品)など普通に極々一般的な対策を施している程度では対応できない、恐ろしい物を想定しています。特に、情報流出について懸念しています。
なお、バグ報告を見ても、正直、書いている意味の半分も理解できませんが、どれが情報流出に繋がるのでしょうか?また、これを悪用した攻撃が実際にあるのでしょうか?