使いやすいパスワード・アーカイブ・ソフト

　何らかのトラブルでデータを失いたくないのなら，定期的なバックアップが必要なことは常識である。ところが，バックアップ作業は以前に比べ複雑さが増してしまった。オンライン・サービスを利用していると，データを遠隔地に保存している可能性があるからだ。たいていの場合，オンライン・メール・サービスのアカウントを取得したら，全メールを手元のバックアップ用ハード・ディスクにアーカイブしたくなるだろう。

　このような背景から，Jeff Atwood氏が3月初めにブログで「Gmail」用のメール・アーカイブ手段を探している人（A氏）の話題を取り上げた記事を見ても驚かなかった。ところで，メール管理プロトコル「IMAP」に対応しているクライアント・ソフトなら，どれを使ってもうまくいくと思う。同ブログ記事の悲劇は，A氏が「G-Archiver」というシェアウエア・ツールに出会ったことにある。しばらくG-Archiverを操作したA氏は，Gmailのユーザー名とパスワードがハード・コーディングされており，あらかじめ埋め込まれていることに気付いた。もう少し詳しく調べたところ，このツールは利用者のメールをローカル環境にアーカイブするだけでなく，利用者のユーザー名とパスワードを使ってハード・コーディングされたGmailのアカウントにメールを送信し，遠隔地で利用者のパスワードをアーカイブすることが分かった。筆者は個人的に，G-Archiverの作者はツールの機能を拡張し，利用者にパスワード復旧サービスを提供しようとしたのではないかと疑った。これに対してG-Archiverを提供したベンダーのWebサイトによると，これは単なるコーディング・ミスで既に修正済みであるという。もっとも，このツールが利用者のパスワードを（どこかにメールで送ることを明かさず）保管する必要性について，納得できる理由は思い当たらない。したがって，パスワードを盗むつもりだった可能性の方が高い。ハード・コーディングされていたアカウントを確認したら，不注意な人から盗んだパスワードを入れたメールが1700通以上見つかった。

　バックドアを仕掛けられたソフトウエアなど，全く目新しくない。これらは，トロイの木馬の定義そのものといえる。つまり，新しいソフトウエアをインストールするときは必ずチェックしなければならない，ということだ。安全を願うことは結構だが，セキュリティや可用性の点から見ると最良の戦略ではない。新たなツールをすべて逆アセンブルするなど誰にでもできることではないが，手始めにちょっとした調査をし，評判のよいWebサイトからダウンロードするのは悪くない。ソフトウエアからパスワード入力を求められたら，すかさず用心しよう。

　A氏のパスワードがどのように扱われたか判明した後，ハード・コーディングされていた怪しいGmailユーザーは，保存していたメールをすべて削除し，パスワードを変えたと報告した。ただし，かつてG-Archiverを使ったことがあるのなら，今すぐGmailのパスワードを変えた方がよい。G-Archiverの作者は，間違いなくGmailアカウントからメールを集めるツールを持っているだろう。何者かがメールを削除する前に全パスワードをバックアップしていたとしても，驚くに当たらない。

　多くのダウンロード・サイトは，既にG-Archiverを削除済みで提供していない。当社はG-Archiverをマルウエア「Infostealer.Geemarc」として検出するようにした。

　スクリーン・ショットを提供してくれたKevin S.氏に感謝する。

---

Copyrights (C) 2008 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり，含まれている情報やリンクの正確性，完全性，妥当性について保証するものではありません。
◆この記事は，シマンテックの許可を得て，米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は，「Your Friendly Password Archiver」でお読みいただけます。