ここから本文です

グーグル、「G Suite」の一部パスワードを暗号化せず14年間も保存していた

5/22(水) 11:33配信

CNET Japan

 Googleは米国時間5月21日のブログ記事で、「G Suite」の顧客に対し、一部のパスワードを暗号化せず社内サーバーに保存していたと通知した。これはつまり、これらのパスワードを見つけた人は誰もがそのパスワードを平文で読めたということだ。Google Cloud Trustのエンジニアリング担当バイスプレジデント、Suzanne Frey氏は投稿の中で、このバグは企業ユーザーにのみ影響すると述べた。したがって、Googleを無料で利用している人には影響しない。

 「われわれは徹底した調査を実施しており、影響を受けたG Suite認証情報への不適切なアクセスや悪用の証拠は確認していない」(Google)

 これは、パスワードをハッシュ化せずに社内サーバーに保存していた問題を発表したテクノロジー大手の最新の事例だ。Facebookは3月、数億件のパスワードが読み取れる状態で社内サーバーに保存されていたと発表した。2018年5月にはTwitterも、バグによってパスワード3億3000万件が平文で保存されていたことを明らかにした。

 標準のセキュリティ慣行では、パスワードを暗号化して社内サーバーに保存するため、従業員はこれらのログイン認証情報を閲覧できないし、悪用もできない。

 Googleは2005年、要望に基づき、管理者らがパスワードを手作業で設定したり復元したりするツールを実装したという(現在は削除済み)。Googleによると、このツールが平文のパスワードのコピーを保存していた。平文のパスワードは過去14年にわたり保存されていたことになる。

 Googleはまた、別のバグにより、ハッシュ化されていないパスワードのサブセットを1月から最大2週間にわたって、安全に暗号化されたインフラ上に誤って保存していたことを明らかにした。この問題も修正済みで、不正アクセスや悪用の痕跡は見つかっていないとしている。同社は、これらのセキュリティ問題の影響を受けた管理者らに通知したという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

最終更新:5/22(水) 11:33
CNET Japan

こんな記事も読まれています

あなたにおすすめの記事