Appleのメールアプリやその他のメールクライアントアプリでS/MIME、PGP、GPG暗号化を使用している場合、「Efail」と呼ばれる脆弱性の影響を受ける可能性があります。このセキュリティ上の欠陥により、暗号化されたメールの内容が平文で公開される可能性があります。この脆弱性を修正したアプリのアップデートがリリースされるまで、メッセージを保護することができます。しかも、簡単に保護できます。

Efailとは

Efailは、S/MIME、PGP、GPGにおけるセキュリティ上の欠陥です。URLを用いてリモートサーバーに画像ファイルを呼び出し、暗号化されたメール（現在および過去）のプレーンテキスト版を公開します。Appleのメールアプリ、EnigmailプラグインをインストールしたMozilla Thunderbird、そしてGpg4winをインストールしたOutlookに影響します。

この欠陥は暗号化アルゴリズムにあるのではなく、電子メール アプリがリモート コンテンツ要求を要求して処理する方法にあるようです。

機密性の高い通信に暗号化されたメールを頼りにしている場合は、Appleのメッセージ、WhatsApp、Signalなどの代替手段を検討することをお勧めします。これらのアプリはすべて、エンドツーエンドの暗号化機能を備えているため、メッセージを第三者の目に触れずに安全に保護できます。

Efail を動作させるには、暗号化鍵が既に共有されている必要があります。これは、送信者と受信者の両方が以前に暗号化された電子メールメッセージで通信したことがある場合、自動的に行われます。つまり、既に公開鍵が交換されているということです。

つまり、ランダムなハッカーが Efail の脆弱性を利用して電子メール メッセージを解読することはできないということです。

メールのEfailの一時的な回避策

メール暗号化ツールを完全に削除するのは少し厳しすぎると思われる場合は、メールのメッセージにリモートコンテンツを読み込むオプションを無効にすることもできます。手順は以下のとおりです。

• Macでメールを起動する
• メール > 環境設定に移動します
• 表示タブを選択します
• メッセージ内のリモートコンテンツを読み込むのチェックを外す

メールメッセージの多くは見た目はシンプルですが、セキュリティパッチを待つ間はEfailの影響を受けることはありません。ただし、暗号化されたメッセージの内容は引き続き閲覧できるという利点があります。

GPGToolsとEnigmailプラグインの削除

GPGTools で Apple のメール アプリを使用している場合は、次の手順に従ってプラグインを削除します。

• メールアプリを終了する
• Finderで「移動」>「フォルダへ移動」を選択します。
• フォルダへ移動フィールドに「~/Library/Mail/Bundles」と入力します。
• 「Go」をクリック
• GPGMail.mailbundleをゴミ箱に移動する

Thunderbird で Enigmail を削除する方法は次のとおりです。

• Thunderbirdを起動する
• ハンバーガーボタンとも呼ばれる3本の積み重なったバーのアイコンをクリックし、「アドオン」を選択します。
• Enigmailの横にある「無効にする」をクリック

Efail の欠陥からは保護されますが、GPGTools または Enigmail を削除した後は暗号化されたメッセージの内容を表示できなくなります。

Efailの脆弱性を修正するパッチが現在開発中で、まもなく公開される予定です。メール暗号化ツールを使用していない場合は、Efailについて全く心配する必要はありません。