Mozillaは2018年5月16日(米国時間)、「EFail and Thunderbird, What You Need To Know|The Mozilla Thunderbird Blog」において、先日発表された暗号メールに関する脆弱性(EFAIL)について、Thunderbirdで影響を受けるユーザーやその対策方法を説明した。
脆弱性の影響を受けるとされるユーザーは「 Enigmailアドオンのようなエクステンションを経由してS/MIME暗号やPGP暗号の機能を使っている」かつ「 攻撃者が暗号化されたメールにアクセスできる」。
EFAILに関する報道では、問題が修正されるまで暗号化機能を無効化することが推奨されているが、MozillaはThunberbirdの暗号化機能を無効化しない方法を推奨している。
しかし、Thunderbird 52.8またはThunderbird 52.8.1に脆弱性対策が取り込まれるまで、暗号メールを読む場合には注意が必要としている。暗号メールを読む場合に、注意すべき項目は次のとおり。
- Thunderbirdのリモートコンテンツ機能を無効化しておく(デフォルトは無効化設定)
- リモートコンテンツの表示を許可するかどうか求められた場合に、即座に「allow now」をクリックしない
EFAILの影響を受けるメールアプリケーションはかなりの数に上ると見られている。メールアプリを提供するベンダーやプロジェクトの公表するセキュリティ情報に注意するとともに、アップデートが適用された場合は迅速に適用することが望まれる。