Twitterの情報流出で問われるクラウドの安全性：Google Appsではなく人間の問題（2/2 ページ）

[Clint Boulton，eWEEK]

　GoogleとTwitterは、Googleアカウントのセキュリティプロトコルとクラウドのセキュリティが脆弱であるという指摘に反論している。Twitterのストーン氏はブログ記事で次のように述べている。

　この攻撃はGoogle Appsの脆弱性とは何の関係もなく、われわれは今後もGoogle Appsを利用するつもりだ。これは、Twitterが大きな注目を集めており、当社の従業員が攻撃のターゲットになり得るという問題だ。Webアプリの弱点に関する問題ではない。強力なパスワードを使用するなど、適切な個人セキュリティガイドラインを守ることが重要であることが、この問題で示された。

　さらにストーン氏は「これはTwitterに対するハッキングではなく、個人的な攻撃が非公開の社内文書の盗難につながったものだ」と強調する。

　一方Googleも、Google Appsのセキュリティへの疑念に対処している。同社の技術ディレクター、マクダフ・ヒューズ氏はブログで次のように書いている

　われわれはGoogle Appsを業務で使っており、当社の製品で高レベルのセキュリティを実現するために努力している。ユーザーや顧客の個別事例について論じることはできないが、われわれは混乱を解消するために、各種のGoogleアカウントにおけるアカウント回復の仕組みについて説明するとともに、ユーザーがアカウント情報のセキュリティを守るのに役立つTipsを見直すつもりだ。

　「パスワードの回復は、GmailユーザーからGoogleに寄せられるサポート要請の内容として特に多いものだ」とヒューズ氏は指摘した上で、「Googleでは、セキュリティ用の質問と2番目の電子メールアドレスに加え、アカウント回復用に携帯電話番号を入力するオプションを利用するよう勧めている」と述べている。

　しかしヒューズ氏によると、パスワード回復はGoogle Appsとは無関係であり、個々のGoogle Appsユーザーのためのパスワード回復プロセスは存在しない。ユーザーはドメイン管理者から新しいパスワードを取得しなければならないという。

　Googleと同社のクラウドコンピューティングアプローチを擁護する専門家もいる。米ZDNetのサム・ディアス氏は「The Twitter hack: Let's not start blaming Google or the cloud」（Twitterハッキング：Googleやクラウドを責めるのはやめよう）と題されたブログ記事で次のように記している。

　Googleはパスワード回復システムを改善するかもしれないが、これはGoogleの責任ではない。容易に推測できるパスワードと回復用質問をTwitterが使用したことが問題なのだ。ハッカーが侵入できたのはそのせいだ。Googleにセキュリティホールがあるからではない。

　GigaOmのジョーダン・ゴルソン氏は「貧弱な認証・パスワードプロトコルを使っている企業にとっては、今回の問題で自社のデータのセキュリティを確保する必要性を思い知らされたかもしれない」と記している。

関連ホワイトペーパー

Google（グーグル） | ハッキング | 脆弱性 | 情報流出 | 認証 | クラウドコンピューティング | 機密情報 | Webアプリケーション

原文へのリンク