sonodamさんところ経由でたどり着く。
高木先生のエントリでほぼ言い尽くされてはいる感があるが、APOPの脆弱性を利用した攻撃が成立する背景には、MITMなりの手段で「クライアントに対して（攻撃者側に都合がいいという意味で）適切なチャレンジ」を送る必要がある。
この攻撃を実施してパスワード文字列（の一部）を推測するためには、それなりの数の電文が必要（といっても少ない）を集める必要がある、という記述だったような。＞勧告
ちなみにこの攻撃を行うための条件の1つ（MITM）が成立するような状況において、「POP3 over オレオレSSL」を使ったところで、安全性が向上することにはならない。むしろ低下するくらいの勢いだ。
証明書の検証を行わないということは、サーバの真正性を検証しないということと同義であり、以下のような状況になってしまったら、平文を盗聴されているのと同様のことに（当然）なる。

MUA（メールクライアント） - POP3 over オレオレSSL - 攻撃者のPOP3 over オレオレSSL受け口

本来のメールサーバが正当な証明書を使っていない限り、証明書の検証をしないMUAのユーザからは、つなぎ先が「正当なサーバ」なのか、「攻撃者のサーバ」なのかを意識できない。

だいたい攻撃者が用意する受け口のむこうは、以下のような構成になっている。

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • +

POP3 over オレオレSSL待ちうけプロセス(ProcA) - 本来のPOP3 over SSLサーバへの接続プロセス(ProcB)

• • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • +

証明書の検証をしないと、SSLで暗号化した内容を復号され、さらにSSLによる接続を張られ、復号→暗号化の過程で平文の内容を読み取られる、ということが容易に実施される。
上記の中で、ProcAとProcBの間の通信をTAPするだけでOKだ。こんなのは正直、知ってる人ならば誰でも可能なことである。それに加え、DNSののっとりやルータののっとり、Pharmingその他の方法を実施されてしまうような環境がそろえば、チャレンジを送って云々などというしちめんどくさいことをしなくとも、容易にパスワードを含めた通信を読み取られる。

オレの考え：APOPの脆弱性をついた攻撃が成立する環境下において、POP3 over オレオレSSLは解決策にならないどころか余計に被害を増殖させる危険性が…