セキュリティベンダーJP Vendor Status Notesは10月28日、メールソフト「鶴亀メール」v3.69以前に、S/MIMEの電子署名に関する脆弱性が2件あると発表した。脆弱性の内容は、電子署名の証明書を偽装されたメールを正式な証明書として受信してしまう恐れがあるというもの。本脆弱性は最新版のv3.71で修正されており、窓の杜や作者ホームページからダウンロードできる。まだ古いバージョンを使用しているユーザーはこれを機に最新版へ更新しておこう。

　今回発表された脆弱性は、1つがS/MIMEを利用して電子署名されたメールを受信する際に、電子署名は検証するが証明書の発行元が検証されない脆弱性。もう1つは、同じくS/MIMEによる電子署名されたメールの受信時に、証明書の有効期限が検証されない脆弱性。電子署名の証明書を偽装されたメールを受け取っても、受信者は詐称メールだと気づかない恐れがある。これによりS/MIME本来のセキュリティ機能を有効に利用できなくなってしまう。

　なお、JP Vendor Status Notesの発表によれば本脆弱性の影響を受けるバージョンはv3.70以前とのことだが、編集部にて調査の結果、対象となるバージョンは、S/MIMEに対応したv3.56からv3.69まで。

□JP Vendor Status Notes - JP - JVN#E59B594B
http://jvn.jp/jp/JVN%23E59B594B.html
□秀まるおのホームページ
http://hide.maruo.co.jp/
□窓の杜 - 鶴亀メール
http://www.forest.impress.co.jp/lib/inet/mail/mailer/tsurukame.html

（久保 望）