POP over SSLなどへの変更推奨＞APOPの脆弱性

JVN#16445002 APOP におけるパスワード漏えいの脆弱性 - JVN
上野先生の処経由……と思いきや、実は最初に知ったのはYOMIURI Onlineの記事(http://www.yomiuri.co.jp/atmoney/news/20070419i101.htm)だったり(苦笑)。

まぁ、いずれにせよAPOPで暗号化されるのは「認証に掛かる部分だけ(※1)」ですし、ハッシュ関数として使われているMD5も、今やCRYPTRECの電子政府推奨暗号リスト(PDF)から外れちゃっていますしね……いずれにしても破られるのは時間の問題だったのかも……。

個人でメールサーバ立てている方は、POP over SSLなどの方法に変更できるなら、変更した方がベターかも……。
---
(※)当然受信するメールの中身は平文のままなので、APOPでもメールの中身を盗聴されるリスクはあると……。

まとめるのは難しいけど、少しでも違和感を感じたら、不審＞不審なメール

[openmya:037865] 不審なメールって？ - OpenmyaML
考えるな!、心で感じるんだ!!

……嘘です、ゴメンナサイ(マテ)。

マジメな話、私の場合は「僅かでも違和感を感じたら、不審」という基準です。
この『違和感』ってのは言葉にまとめるとなかなか難しいもので(しかも一言で「こうだ!!」と言い切れないのが悩ましいところ)、だらだら書きになっちゃいますが、例えば……

普段、アナウンスメール程度しか送られてこないISPやN/Wサービス運営側から、いきなり「どこそこにアクセスしてID・パスワードを入力・変更してくれ」というメールが届いた場合

「重要な資料なんで見てください」というメールなんだけれど、開かせるための前提条件に関する情報が非常に曖昧なメールが届いた場合（例えば見積書の場合、何時に何に対するお問い合わせに関して、という情報が抜けていたり不足していた場合とか）

件名に「重要なお知らせ」とか「お問い合わせの件について」とかいう、非常に曖昧な事しか書かれていなかった場合(詐欺と言うよりspam向けかもしれませんが)

最後のケースの場合、メールを送る時についそう書いちゃう人もいるかもしれませんが……それは不審に思われてしまい開いてもらえない事もあるという事で(苦笑)……主題から外れるので一旦ここで切りますが。
---
あと、よくありがちなのが「怪しいんだけれど……心当たりあるしなぁ……まぁいいや、開いちゃえ」というケース。orz
(いや、実際にあるんですよ、こういうケースが……。)

この場合は「心当たりがある人に、こちらからプッシュして連絡・問い合わせる」という事を是非してもらいたいなぁ……と思う次第で。