Chromeブラウザの「パスワード丸見え」問題にGoogleが釈明

[鈴木聖子，ITmedia]

　米GoogleのWebブラウザ「Chrome」が保存されたパスワードを平文で表示する機能を提供していることについて、Googleの担当者が掲示板サイトで「ユーザーに誤った安心感を与えたくない」とする同社の立場を説明した。

　この問題はソフトウェア開発者のエリオット・ケンバー氏が自身のブログで指摘し、Googleのパスワードセキュリティ対策の甘さを批判していた。

　Chromeブラウザのセキュリティ責任者ジャスティン・シュー氏は、掲示板サイト「Hacker News」でこれに反論。「保存されたパスワードへの唯一強力なパーミッションの境界はOSユーザーアカウントであり、Chromeではロックされたアカウント上のパスワードを安全に保つため、そのシステムが提供する暗号化ストレージを使っている」と説明する。

　一方で、例えばシステムにロックを掛けないまま席を外すなどして、悪意を持った人物にアカウントにアクセスされた場合、例えばcookieや履歴などの情報を見られたり、動作監視などのマルウェアを仕掛けられたりする恐れもあると指摘。「いったん自分のアカウントにアクセスされれば、その時点で負けだ」と強調した。

　ケンバー氏は、Chromeに保存されたパスワードを見るためのマスターパスワードをGoogleが提供していないことについても批判している。

　シュー氏によれば、マスターパスワードの導入についてはGoogleでも繰り返し論議してきた。しかし行き着くのは常に、「ユーザーに誤った安心感を与えて危険な行動を助長したくない」という結論だったといい、同氏は「他人があなたのOSユーザーアカウントにアクセスすれば、何もかも入手できてしまう」と繰り返した。

　これに対して読者からは、「自分たちが負うべき責任を他人に押し付けている」「もし自宅の玄関の鍵をかけ忘れたからといって、盗まれたくない貴重品を隠すことも許されない理由はない」など、賛否両論の意見が多数寄せられている。

　なお、Firefoxなどのブラウザでは、コンピュータを他人と共有する場合を想定し、ブラウザに保存されたパスワードにアクセスするためのマスターパスワードを設定できる機能を提供している。