パスワード管理ツールの問題、セキュリティ研究者が指摘 メーカーは反論
研究者によると、パスワードが簡単に抽出されてしまいかねない問題が各ツールに見つかった。しかしそれでも、パスワード管理ツールを使った方がいいという前提は変わらない。
米セキュリティコンサルタントのIndependent Security Evaluators(ISE)は2月19日、Windows向けの主要パスワード管理ツールに関する調査結果を公表し、調査対象とした全てのツールでパスワードが簡単に抽出されてしまいかねない問題を発見したと伝えた。
ISEによると、調査対象としたのは「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」の各ツール。それぞれについて詳しく調べた結果、各ツールともメモリ管理に問題があり、たとえロック状態にあったとしても、攻撃者によってパスワードが取得されてしまう恐れがあることが分かったという。
「ロック状態」は、ユーザーがパスワード管理ツールを起動したものの、マスターパスワードを入力していない状態、またはマスターパスワードを入力した後に「ロック」ボタンをクリックした状態を指す。
場合によっては、マスターパスワードが抽出される恐れがあることも分かったといい、こうしたツールを使う6000万人のユーザーに影響が及ぶとISEは主張している。
ただしISEは、パスワード管理ツールを使わないよう勧告しているわけではなく、「パスワード管理ツールは使った方がいい」という前提は変えていない。その上で、「パスワード管理ツールのメーカーはユーザーの秘密を守るために追加的な対策を講じる必要がある」と述べ、ユーザーに対しては、パスワード管理ツールを使っていないときは、完全に終了させるなどのベストプラクティスを提言している。
Kaspersky Labのニュースサービス「threatpost」によると、ISEの報告に対しては、1Password、Dashlane、KeePass、LastPassの4社とも反論を寄せ、「この問題を解決すれば、もっと大きなセキュリティリスクが発生する」「この問題による現実的な脅威は限られている」(1Password)などと説明している。
関連記事
- もう、「パスワードを覚える」のは諦めませんか?
使うサービスは増え続け、それに伴ってアカウントがどんどん増えていくのにパスワードは使い回さず、サービスの数だけ用意せよ――。そんな時代のベストな対策は“諦める”こと? - わが家の「パスワード管理ソフト」導入記
家族に提案したら、「そんなところに預けられません!」という返事がありました……。それを乗り越えていけそうな“手がかり”もご紹介します。 - ついにパスワードにさよならの時? それでも手放しで喜べないわけ
ヤフーとソフトバンクがパスワードなしのログイン機能を発表し、とうとうパスワードにさよならの時が来たかと思った人、ことはそう単純ではありません……。 - 「セキュリティソフトさえ入れれば安全でしょ」という考えが、むしろ危険な理由
新しくPCやタブレットを買う時、「○○のセキュリティソフトを入れればお得ですよ!」などと薦められるまま、何となくセキュリティソフトを買って入れた経験はありませんか? こうした“受け身のセキュリティ対策”、むしろリスクを呼ぶ可能性があるんです。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.