APOPに実装上ではなくプロトコル上の脆弱性が見つかったらしい。
http://www.yomiuri.co.jp/atmoney/news/20070419i101.htm
この記事が人気エントリに上がっててまぢやべぇと思ったんだが、ずいぶん誤解が。読んでるとハッシュに使ってるMD5が解読されてパスワード盗まれる的な書き方なので、それは大事件だとテンションあがったんだが、ハッシュしてるのに復元できるとか実際どうなってるんだYOーと、IPAの公式発表を読むと↓

APOP 方式に、MD5 ハッシュ衝突に基づく攻撃手法が発見されました。このため、ユーザがなりすましたメールサーバに誘導された場合、メールの受信に利用するパスワードが解読され、漏えいする可能性があります。

脆弱性関連情報取扱い：脆弱性関連情報の調査結果：IPA 独立行政法人 情報処理推進機構

「ユーザがなりすましたメールサーバに誘導された場合」というのがあるのとないので大違い。攻撃条件も

この攻撃では、攻撃者がメールクライアントの通信先であるメールサーバになりすまし、攻撃者が送信するチャレンジ文字列に対するメールクライアントからの応答を、ユーザに気づかれずに長時間にわたって集める必要があります。そのため、実際の攻撃は比較的困難であると考えられます。

JVN#19445002: APOP におけるパスワード漏えいの脆弱性

というかんじでメールサーバーがなりすまされない限りは安全っぽい、あとAPOPとMD5の組み合わせが問題であって、MD5のデジタル署名とかが破られたりするわけではない模様。

てか、APOPの暗号化以前に世の中平文のPOP使ってる人が大半でしょうけどね。うちは大いに関係あるわけですよ。てか、適当にはしょって誤解を招くニュースを書くのほんとやめて欲しい。