TOPセキュリティ > Web版のパスワード管理ツールに潜む危険性、研究者が指摘

セキュリティ

Web版のパスワード管理ツールに潜む危険性、研究者が指摘

2014/07/17

Antone Gonsalves CSO

 多数のWebサイトのパスワードを覚えておく負担を軽減するツールとして、パスワード管理ツールがある。だが、米カリフォルニア大学バークレー校の研究チームが、Web版のパスワード管理ツールのセキュリティを調査し、懸念を指摘している。

 この研究チームは、クラウド上にパスワードを保存する形のパスワード管理ツール5種類を調べた。すると、ワンタイムパスワード、パスワードの共有、モバイル版ブラウザーでWebサイトへのログインに使う「ブックマークレット」など、さまざまな機能で脆弱性を発見したという。

 研究チームは、調査結果をまとめた論文の中で、「脆弱性の根本原因は多様であり、ロジックや承認の誤りから、Webのセキュリティモデルに対する誤解まで、多岐にわたる」と述べ、「我々の研究が示すとおり、パスワード管理ツールのセキュリティは依然として課題である」と指摘している。

 この研究については、2014年8月にサンディエゴで開催される「USENIX Security Symposium」で発表する予定だ。

 研究チームが今回調査したパスワード管理ツールは、「LastPass」「RoboForm」「my1login」「PasswordBox」「NeedMyPassword」の5種類。いずれもWebブラウザー上で動作するツールで、膨大な数のユーザーがいる。パスワード管理ツールが人気を集めている理由は、ユーザーが覚えておくパスワードがマスターパスワード1つで済む点にある。

 研究チームによると、調査した5種類のツールすべてで欠陥や不備が見つかったが、うち4種類で見つかった脆弱性は、任意のサイトでユーザーが利用しているパスワードを攻撃者が盗むことができるものだったという。

 全体としては、あまりに多様な脆弱性が見つかったことから、パスワード管理ツールがセキュリティに関して失策を犯していると研究チームは捉えている。

Twitterもチェック

↑ページ先頭へ