ニュース
» 2019年02月21日 08時55分 公開

パスワード管理ツールの問題、セキュリティ研究者が指摘 メーカーは反論

研究者によると、パスワードが簡単に抽出されてしまいかねない問題が各ツールに見つかった。しかしそれでも、パスワード管理ツールを使った方がいいという前提は変わらない。

[鈴木聖子,ITmedia]

 米セキュリティコンサルタントのIndependent Security Evaluators(ISE)は2月19日、Windows向けの主要パスワード管理ツールに関する調査結果を公表し、調査対象とした全てのツールでパスワードが簡単に抽出されてしまいかねない問題を発見したと伝えた。

 ISEによると、調査対象としたのは「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」の各ツール。それぞれについて詳しく調べた結果、各ツールともメモリ管理に問題があり、たとえロック状態にあったとしても、攻撃者によってパスワードが取得されてしまう恐れがあることが分かったという。

photo Independent Security Evaluatorsが行った調査の結果

 「ロック状態」は、ユーザーがパスワード管理ツールを起動したものの、マスターパスワードを入力していない状態、またはマスターパスワードを入力した後に「ロック」ボタンをクリックした状態を指す。

 場合によっては、マスターパスワードが抽出される恐れがあることも分かったといい、こうしたツールを使う6000万人のユーザーに影響が及ぶとISEは主張している。

 ただしISEは、パスワード管理ツールを使わないよう勧告しているわけではなく、「パスワード管理ツールは使った方がいい」という前提は変えていない。その上で、「パスワード管理ツールのメーカーはユーザーの秘密を守るために追加的な対策を講じる必要がある」と述べ、ユーザーに対しては、パスワード管理ツールを使っていないときは、完全に終了させるなどのベストプラクティスを提言している。

 Kaspersky Labのニュースサービス「threatpost」によると、ISEの報告に対しては、1Password、Dashlane、KeePass、LastPassの4社とも反論を寄せ、「この問題を解決すれば、もっと大きなセキュリティリスクが発生する」「この問題による現実的な脅威は限られている」(1Password)などと説明している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -