Vorspiel 曰く、

今朝のニュースで，APOPに攻撃者がパスワードを解読できる脆弱性があると報じられた．JVNのレポートを受けたものであるようだ．

この脆弱性は，電通大の研究グループが，先月末に行われた学会のランプセッションにて発表したもので(IPAには事前に報告)，man-in-the-middleアタックが必要であり単純な盗聴では攻撃できない．偽のメールサーバにアクセスしたユーザに対して，MD5のハッシュコリジョンを利用したチャレンジ文字列を送ることで，パスワードを徐々に解読することができる，ということのようだ．発表(1) (2)[共にPDF注意]によれば，31文字のパスワードの解読に成功しており，解読に必要なデータの入手に要する時間は31時間と試算されている．

この攻撃によりパスワードが平文で手に入るため，例えば被攻撃者が，APOPと同じユーザ名・パスワードを使って他のサービスを利用している場合，攻撃者がそのユーザになりすましてサービスを利用できてしまう．JVNでは回避策として，POP over SSL等の利用，およびサービス毎に異なるパスワードの使用を挙げている．