Google Authenticator、オプションのE2EE機能追加へ 「ユーザーがロックアウトされる可能性もある」
Googleは、2段階認証アプリ「Google Authenticator」に将来的にはE2EE機能を追加すると発表した。同アプリは先日ワンタイムコードをGoogleアカウントに保存できるようになったが、セキュリティ研究者が同期のトラフィックがE2EEになっていないと指摘した。
米GoogleのIDおよびセキュリティ担当プロダクトマネジャーのクリスティアーン・ブラッド氏は4月27日、2段階認証アプリ「Google Authenticator」(日本では「Google認証システム」)に将来オプションでE2EE(エンドツーエンド暗号化)する機能を追加するとツイートした。
同社は24日、このアプリのアップデートで、ワンタイムコードを端末ではなく、Googleアカウントに(つまりクラウドに)保存するようにした。
このアップデートは概ね歓迎されているが、Myskと名乗るセキュリティ研究者が26日、コードを同期する際のネットワークトラフィックがE2EEになっていないとツイートで指摘し、ユーザーにこのアプリを使わないよう警告した。
E2EEは、データが送信されて別の端末に保存される前に、ユーザーだけが知っているパスワードを使って端末上でデータを暗号化する仕組みだ。
Google Authenticatorのトラフィックは暗号化されているが、E2EEではないため、Googleはデータを見ることができるとMyskは主張した。
ブラッド氏は、「E2EEは追加の保護を提供する強力な機能ではあるが、ユーザーが復号できずに自分のデータをロックアウトする可能性がある」と、E2EE機能を追加していなかった理由を説明し、「ユーザーにオプションを提供するため、今後Google AuthenticatorにもE2EEを提供する予定だ」と語った。
Google Authenticatorは、サービスやアプリへの2要素認証(2FA)によるログインに使うアプリだ。ユーザーがE2EEのパスワードを忘れてロックアウトされてしまうと、このアプリに登録していたすべてのサービスやアプリにログインできなくなってしまう危険がある。
関連記事
- 「Google認証システム」がアカウント同期に 機種変が気楽に
Googleが2段階認証アプリ「Google認証システム」のコードを端末ではなくGoogleアカウントに保存するようになった。これで端末を紛失してもロックアウトされる心配がなくなり、機種変時の移行作業も不要になる。 - Google、Workspace版Gmailのクライアント側暗号化のβ版をリリース
GoogleのWorkspace版Gmailでクライアント側暗号化(CSE)のβテストが始まった。データがサーバに送信される前にクライアントのWebブラウザで暗号化するため、Googleでも復号できない。 - Androidの「メッセージ」、グループチャットもエンドツーエンドの暗号化へ
GoogleはAndroid端末にプリインストールされている「メッセージ」アプリで、グループチャットもE2EEにするテストを開始した。「メッセージ」はAndroid端末にプリインストールされているメッセージングアプリ。1対1のE2EEは昨年6月から有効になっている。 - Googleアカウント、間もなく自動的に2段階認証に(オプトアウト可能)
2段階認証によるログインを推奨するGoogleが、間もなくGoogleアカウントへのログインを自動登録にすると発表した。2段階認証に設定していないユーザーも設定するよう促される。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.