人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

Thunderbird 3.1.20 PortableEdition危険性について
メーラーはブラウザと比べて非常に単純な事しかできないですしセキュリティーホールなんて起こりようがない気がしていますが、現実問題深刻なセキュリティーホールは起こっているのでしょうか?具体的に起こりそうな事例があれば教えて下さい。

また、こちらは、分かれば教えて頂きたいのですが、もっとも安全なメーラーはどれですか?

ポイントについては、もっとも役に立った方に重点的に配分したいと思っています。

●質問者: j4mika
●カテゴリ:インターネット
○ 状態 :キャンセル
└ 回答数 : 3/3件

▽最新の回答へ

1 ● ラフティング

Mozillaは14日、メールソフト「Thunderbird」の最新安定版v31.2.0を公開した。最新版ではMozillaの基準で深刻度が4段階中もっとも高い“最高”の脆弱性3件などが修正されている。

重要度“最高”に分類されたのは、サービス運用妨害に関する問題や不正なメモリ破壊が生じる脆弱性に関する問題などで、“Security Advisories for Thunderbird”にて詳細が公開されている。

そのほか複数の脆弱性に対する修正が施されたほか、返信を含むメールの送信時、望まないメールアドレスが送信に追加されてしまう問題(Bug 1008718)への対処が行われた。
2014/10/15 18:28
http://www.forest.impress.co.jp/docs/news/20141015_671474.html

いたちごっこでしょう。

>メーラーはブラウザと比べて非常に単純な事しかできないですしセキュリティーホールなんて起こりようがない気がしていますが

HTMLメールを表示する際には、ブラウザの機能を使用しているので、ブラウザ側にセキュリティ上の欠陥があれば、ブラウザの危険性をそのまま引き継いでいると考えてよいでしょう。


j4mikaさんのコメント
回答いただきありがとうございます。 今のバージョンは、ver31どころか、単なるver3です。これにはどのような問題がありますか?とても特殊な環境でしか再現しないようなバグであれば正直気にする必要はないと思っています。 具体的に、こういったメールが来て、こういった動作をすると、どういった不具合が起こる為、v3よりも最新にすべきだと言えますか? バージョンアップについて良く聞くのですが、実際にはそれをして無くても、実用上問題なかったり、実際にはバージョンアップによる不具合と新たなセキュリティーホール生成と言うこともありますし、どうなのかと思っています。

j4mikaさんのコメント
脆弱性があるというのは分かるのですが、倫理的や販売業者的な理論ではなく、実際、具体的に、例えば中小企業などに導入していた場合に、具体的にどういった脆弱性が利用され、どんな結果になりますか?現在のバージョンを使い続けた場合、具体的な事例が知りたく質問させて頂いています。 また、かなり長期間、迷惑メールなどがあり毎日膨大なメールを受信しているのですが問題になったことが無く(実はすでに親友されてる?)、いったい何が問題なのか分からないところがあります。

ラフティングさんのコメント
Thunderbird 3.0 のサポートは終了しており、新バージョンでは修正されている脆弱性の影響を受けます。すべてのユーザに 最新版 へのアップグレードを推奨します。 http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html 一例 ユーザへの影響 この問題はリモートから攻撃可能であり、任意のコード実行につながる可能性があります。Firefox、Thunderbird、SeaMonkey のユーザは、悪意を持って作り込まれた画像を表示しただけで攻撃されるおそれがありました。 http://www.mozilla.jp/blog/entry/7862/ 複数の人間で使用している場合、ユーザーのひとりが誤って画像を表示されただけで悪意のある人間に攻撃を受け、その影響が他のユーザーにまで拡大してしまう可能性があります。これまでは、たまたま攻撃されなかったからと言って、今後も大丈夫とは言えないということです。 あくまでも可能性の問題ですので、リスク対策をどのようなスタンスで行うかは、各人のポリシーの問題ですが、ビジネス上の関係者(社員、取引先、顧客など)に影響を及ぼすという可能性は十分認識を持っているべきだと思います。 中小企業のオンラインバンク口座が狙われている 大企業を狙うために、中小企業を踏み台にするケースも多いそうです http://news.mynavi.jp/series/network_security/001/

j4mikaさんのコメント
libpng 画像ライブラリの脆弱性を修正したものについては、現在のバージョンは対応済みのようです。(非常に深刻なバグであったようです。) また、デフォルトでは第三者からの画像の表示は非表示、ファイル受け取りは行いませんので該当しないようです。 踏み台にされる話しやネットバンキングのリスクはありますね。その為にも、現在のバージョンに具体的にどういったリスクがあるかを知ることが大切だと思っています。新しいバージョンや特に新しい機能満載のソフトには隠れたバグが非常に多いですし・・・ 正直、むやみやたらと、バージョンアップすることだけが、安全とも思えないのです。但し、明白な危険があればその限りではありません。 他、現在のバージョンでシビヤな問題になるバグがあれば具体的に教えて下さい。

ラフティングさんのコメント
>他、現在のバージョンでシビヤな問題になるバグがあれば具体的に教えて下さい。 事前にバグがわかっているということは、現状、バグの報告で名前が挙げられている世界中のエンジニアを上回る存在ということになります。(それがわかった段階で各エンジニアがmozillaへ報告を入れ、修正が行われているワケです。) http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html 上記のリンク先には最新の報告に対する修正済みの対応履歴が上がっているわけですが、直近の日付は2/24となっています。現時点でも世界中のエンジニアからバグの報告が上がっているはずで、それに対する修正が行われていると考えて間違いないと思います。 ご心配ならば、直接、mozillaへお聞きになられたらいかがでしょうか? 当方他、はてなユーザーに重大なバグの存在がわかっている可能性はまずないでしょう!

j4mikaさんのコメント
現在のバージョンと述べましたのは、質問しております、現在私の使っているバージョン意味で使いました。紛らわしくて済みません。(Thunderbird 3.1.20 PortableEdition) 先に挙げられた例につきましては、かなり昔の深刻なバグなようで、3.1.20では対応済みのようです。 また、シビアな状況や懸念についてですが、画像非表示でも実行されたり、アンチウイルスソフト(MSE)やファイヤーウォール(MS純正)、BBルータ(通常販売されている商品)など普通に極々一般的な対策を施している程度では対応できない、恐ろしい物を想定しています。特に、情報流出について懸念しています。 なお、バグ報告を見ても、正直、書いている意味の半分も理解できませんが、どれが情報流出に繋がるのでしょうか?また、これを悪用した攻撃が実際にあるのでしょうか?

2 ● vorfee

セキュリティホールはどんな場合においても必ず起こります。

たとえば昨年SSL3.0において深刻な脆弱性(POODLE)が発見されました。
どんなメーラーであろうともメールサーバとの通信にSSL3.0を使用している時点で傍受などの危険にさらされます。これはメーラーの問題ではなく、より根本的な通信規格における問題であるためです。ユーザーである私達には防ぎようがありません。

セキュリティに絶対的な安全は存在しません。現実問題、さまざまなところで問題が発生し続けています。ベネッセの個人情報流出も発生し続けています。これはソフトウェアの安全性が原因ではなく、ユーザー(人間)のアクセス権(入室許可など)が適切に行われていないために発生しています。今日、セキュリティを高めるには安全なソフトウェアを選ぶだけでなくユーザーのセキュリティに対する意識が重要となってきています。

つまり、昔から言われているように知らないメールは開かないなどの対策をご自身で行うことが大切です。このような知識に関しては下記のサイトが参考になるかもしれません。
迷惑メールの対処法|すぐに確認したい事と今後の対策方法

最も安全なメーラーについてはわかりません。私はOutlookを使用しています。ですが数あるメーラーの中からご自身の考えに合ったものを選ぶのが良いと思います。
メーラーの一覧はこちらが参考になるかもしれません。
電子メールクライアントの一覧 - Wikipedia


j4mikaさんのコメント
回答いただきありがとうございます。 クライアントサイドで防せぐにはアップデートが一般に好ましいとされていますが、現在、Ver3と非常に古い状態です。現在はVer31がでていますが、今のThunderbirdを使い続けた場合、具体的にどういたメールを受信した時に、どういったリスクがありますか?現在のThunderbirdについて具体的に教えて頂けますでしょうか?

vorfeeさんのコメント
下記サイトをご覧いただければこれまでのThunderbirdの修正がご覧いただけます。これを見て具体的にどういった問題が発生するか理解するにはセキュリティに関するの各分野における知識が必要不可欠だと思うのですが、残念ながら現在勉強中の私ではお力になれそうにありません。 http://www.rumblingedge.com/?s=thunderbird&searchsubmit=Find http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html https://bugzilla.mozilla.org/describecomponents.cgi

j4mikaさんのコメント
私も見ても、よく分からない為、具体的な話を聞きたく質問させて頂きました。 メールを受信するだけで(勿論、添付ファイルを実行するなどは論外ですが)、どこまで実際の脅威として存在しているのか気になっています。銀行の残高が無くなったという話をテレビでも聞きますが、添付ファイルを実行してしまったとか、よく分からないフリーソフトを使ったなどばかりです。IEくらい全世界で普及している物については確かにありましたが、Thunderbirdのようなアプリケーションのバグを利用して侵入すると言うことが本当にあり得るのか気になっています。また、現に、これだけ長期間使って何もなく、どこまで本当に脅威があるのかも気になっています。仮に、脅威があり、すでに侵入されている可能性が高いのであれば、それも合わせて知りたいと思っています。特に、BBルータ?、ファイヤーウォールやアンチウイルスソフト(定義ファイルは最新)などあり、そう簡単には脅威とならないのではないかという思いもあります。

3 ● blue_star22

メーラーは一番危ないですね。添付ファイルの実行を容易にされたら。


j4mikaさんのコメント
Thunderbirdは添付ファイルを自動では実行しませんし、常駐型のアンチウイルスソフトとファイヤーウォール(何かが外部に通信する時には反応する)を使っていますので、大丈夫かと思います。もし、現在使っているバージョンにそのようなバグがあれば、具体的なことを教えて頂けると幸いです。
関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ