パスワード管理ツールの問題、セキュリティ研究者が指摘 メーカーは反論 – ITmedia NEWS

ふむ・・・


米セキュリティコンサルタントのIndependent Security Evaluators(ISE)は2月19日、Windows向けの主要パスワード管理ツールに関する調査結果を公表し、調査対象とした全てのツールでパスワードが簡単に抽出されてしまいかねない問題を発見したと伝えた。

ISEによると、調査対象としたのは「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」の各ツール。それぞれについて詳しく調べた結果、各ツールともメモリ管理に問題があり、たとえロック状態にあったとしても、攻撃者によってパスワードが取得されてしまう恐れがあることが分かったという。

Independent Security Evaluatorsが行った調査の結果
Independent Security Evaluatorsが行った調査の結果

「ロック状態」は、ユーザーがパスワード管理ツールを起動したものの、マスターパスワードを入力していない状態、またはマスターパスワードを入力した後に「ロック」ボタンをクリックした状態を指す。

場合によっては、マスターパスワードが抽出される恐れがあることも分かったといい、こうしたツールを使う6000万人のユーザーに影響が及ぶとISEは主張している。

ただしISEは、パスワード管理ツールを使わないよう勧告しているわけではなく、「パスワード管理ツールは使った方がいい」という前提は変えていない。その上で、「パスワード管理ツールのメーカーはユーザーの秘密を守るために追加的な対策を講じる必要がある」と述べ、ユーザーに対しては、パスワード管理ツールを使っていないときは、完全に終了させるなどのベストプラクティスを提言している。

Kaspersky Labのニュースサービス「threatpost」によると、ISEの報告に対しては、1Password、Dashlane、KeePass、LastPassの4社とも反論を寄せ、「この問題を解決すれば、もっと大きなセキュリティリスクが発生する」「この問題による現実的な脅威は限られている」(1Password)などと説明している。

関連リンク

情報源:パスワード管理ツールの問題、セキュリティ研究者が指摘 メーカーは反論(ITmedia エンタープライズ) – Yahoo!ニュースコメント

情報源:パスワード管理ツールの問題、セキュリティ研究者が指摘 メーカーは反論 – ITmedia NEWS


へぇ・・・