深夜に帰宅してみたら、突然注目キーワードのトップがAPOPになっていた。新手の音楽が話題になっているのかと思ったら何のことはない、予想通りのプロトコルのAPOPの話だった。こんな公表がIPAからあったとのこと。

APOP方式におけるセキュリティ上の弱点（脆弱性）の注意喚起について

APOPにパスワード漏洩の脆弱性、代替手段を推奨

APOPに脆弱性があるというより、APOPで使われるMD5というワンタイムパスワード方式が危険ということであるようだ。しかしAPOPを使っているところなんて稀だろう。

　それより以前に、IPAさんにはインターネットを通じてPOPを通すことが駄目であることを強調してほしい。POPのパスワードと会員ログインIDのパスワードを連動させてネットサービスをしているところなんてザラにある。
　いまだにプロバイダは、ユーザにメールはPOP、WebページのアップロードにFTPなどを当たり前に使わせている。フリーで使えますよということにしているので、ユーザ個々のセキュリティなぞ知ったことじゃないというものだろう。まあ無法地帯はそれはそれで１つのポリシーだとして、逆に安全ですよと謳っておいて実は安全じゃないという方が罪は重いだろうということか。
　確かにPOPは危険だからAPOPをサポートしているウチのシステムは安全です、とAPOPをセキュリティの売りにしているケースもあったが、もう古い話だった気がする。APOPが一般化しないうちに、フリーメールだ、Webメールだのの方が一般的になり、それも当初は http でアクセスさせていたものが、今はみな https に移行してしまっている。

　Linuxサーバー側では、最近のバージョンでもAPOPは標準サポートにはなっていないし、POP over SSLが推奨のサーバー構成になっている。本当に古いシステムのままのところはPOPのままという現状だ。

　GmailのMail Fecherを使えば、POPしかサポートしていないプロバイダのメールボックスからもSSLを通してメール受信できそうだ。これまではGmailに転送させる方式だったが、これが可能ならばもはやプロバイダのメールサーバーには直接アクセスすら必要がなくなる。
　さっそくやってみたが、プロバイダやメールサーバーのドメイン環境によっては、まだスムーズに代理のメール受け取りを受け付けてくれないようだ。まだ開始されたばかりなのでよくわからないが、今後状況は変わっていくかもしれない。