この脆弱性は、電子メール・プログラムがデータ保護の目的で頻繁に利用する暗号化技術、S/MIMEとOpenPGPの2つに影響する。
Webメディアのアルス・テクニカ(Ars Technica)によると、ドイツのセキュリティ研究者が先に挙げた暗号化技術を使った電子メールの解読方法を発見したという。5月14日、「Efail」というタイトルを付けた研究結果の論文を公表した。
論文によると基本的な仕組みはこうだ。ハッカーが傍受した電子メールの中に細工したテキストを挿入し、無警戒な受信者に送信する。被害者がその電子メールを開くと、悪質なコードによって電子メール・プログラムは騙され、復号した平文をハッカーに送り返す。研究者は、新規の電子メールやアーカイブされた電子メールが攻撃を受けやすいとしている。
一部のセキュリティ担当幹部によると、このリスクは復号エラーをチェックしない電子メール・プログラムだけに関係するため、電子メール・プログラムが復号チェックをするかどうかを検証する価値はあるという。どうしても懸念が払拭できない場合は、電子メール・プログラムとは別のアプリケーションでメッセージを複合することをドイツの研究者は推奨している。また、この脆弱性はすでに電子メール・プログラムを提供している企業に開示されているため、ソフトウェア・パッチが間もなく提供されると思われる。
詳細に述べる必要はないだろうが、企業や政府だけではなく、多くのジャーナリストや活動家も情報源とのコンタクトに暗号化された電子メールを使っている。影響範囲を考えると動向を注視したほうがよさそうだ。