- セキュホmemo http://www.st.ryukoku.ac.jp/~kjm/security/memo/2007/04.html#20070419_APOP
- /.j http://slashdot.jp/security/07/04/19/0137200.shtml
- IPA http://www.ipa.go.jp/security/vuln/200704_APOP.html
- 読売1 http://www.yomiuri.co.jp/atmoney/news/20070419i101.htm
- 読売2 http://www.yomiuri.co.jp/net/news/20070419nt01.htm
読売の記事、攻撃者の意味で「ハッカー」って使ってますね(ぷんすか)
で、なんか読売の記事だと MD5 の逆関数が見つかったかのような書き方になってますがそんなはずはなく(っていうかそうだったら大ニュース)、/.j の koshian さんのタレコミにあるように、例の MD5 のハッシュコリジョンを使って、Man-in-the-middle で、仮定と検証の繰り返しによりパスワードの推定(?)が可能、というわけで、IPA のページにあるように、攻撃者は POP サーバーに「なりすます」必要があるわけではありますが
あと、IPA たんが「プロトコル上の問題箇所であり、現時点で根本的な対策方法はありません。」と書いてるけど、根本的ではないにしろ対策は http://seclists.org/bugtraq/2007/Apr/0018.html の最後のほうにある通り、メイラで怪しいチャレンジを蹴る、というのはそれなりに有効かと