ここから本文です

グーグルが「G Suite」の一部パスワードを無防備で保存、その14年という長い期間の重大性

5/27(月) 12:32配信

WIRED.jp

グーグルが主に法人向けに提供しているクラウドサーヴィス「G Suite」のパスワードの一部が、無防備のまま平文で保存されていたことが明らかになった。この問題をもたらしたバグは2005年から存在しており、最長で14年にもわたって脆弱性のあるデータが放置されていたことになる。

セキュリティ上の重大な問題に

またか、と思わせる“事件”が起きた。グーグルがユーザーパスワードを誤って無防備のまま平文で保存していたことを、5月21日(米国時間)に発表したのだ。こうした例は最近、テクノロジー大手でよく起きている。「G Suite」のユーザーは要注意だ。

グーグルによると、このバグの影響を受けるのは「G Suiteユーザーのごくひと握り」。つまり、個人ユーザーのアカウントは対象外というわけだ。法人や企業アカウントの一部は対象になり、それぞれ固有のリスクや脆弱性がある。

保護なしの状態でパスワードを保存

グーグルは通常、パスワードを暗号化によってスクランブル処理したハッシュと呼ばれる状態でサーヴァーに保存する。ところが、G Suite管理者用のパスワード復元機能にバグがあったため、「管理コンソール」と呼ばれるコントロールパネルのインフラ内に保護なしで保存されてしまった。グーグルはバグがあったこの機能を無効にした。

この措置がとられるまでは、権限をもつグーグルのスタッフ、または悪意ある侵入者がパスワードにアクセスできる状態だった。また各組織の管理者も、自分のグループのアカウント保持者に代わり、平文パスワードにアクセスすることが可能だった。

この1年半の間にツイッターとフェイスブックも平文パスワードのバグにそれぞれ対処してきた。この2社はユーザーパスワードを自動リセットする必要はないと結論づけたが、グーグルは「慎重の上にも慎重を期すための」対応をとっている。

ツイッターは問題が発覚した当時、どのぐらいの期間にわたってユーザーパスワードを平文保存していたかを明らかにしなかった。フェイスブックのバグは2012年から存在していたという。

1/2ページ

最終更新:5/27(月) 12:32
WIRED.jp

記事提供社からのご案内(外部サイト)

『WIRED Vol.33』

コンデナスト・ジャパン

2019年6月13日発売

1,200円(税込み)

『WIRED』日本版VOL.33「MIRROR WORLD - #デジタルツインへようこそ」来るべき第三のグローバルプラットフォームを総力特集

こんな記事も読まれています

あなたにおすすめの記事