TOPセキュリティ > Web版のパスワード管理ツールに潜む危険性、研究者が指摘

セキュリティ

Web版のパスワード管理ツールに潜む危険性、研究者が指摘

2014/07/17

Antone Gonsalves CSO

 論文の共著者の1人であるDevdatta Akhawe氏は、CSOonlineに対して次のように述べている。「パスワード管理ツールが扱うのは、並外れて機密性が高いデータであり、いわば王国への鍵だ。したがって、こうしたツールの開発元は、通常より強固な防御姿勢を開発時に取り入れ、最小権限の原則、多層防御、オープンなプロトコルや設計など、規範的な原則を採用することが義務であると我々は考える」

 同研究チームは、発見した脆弱性や不備について、開発元の各社に2013年8月に連絡した。5社のうち4社からは1週間以内に回答があり、主な脆弱性はすべて修正されたが、NeedMyPasswordだけは現在でも回答がないという。

 米LastPassは、現地時間2014年7月11日付けの公式ブログ記事で、ブックマークレットの問題を修正していたことを認めたうえで、この機能を利用していたユーザーは全体の1%に満たないと述べている。

 信頼の置けないサイトで2013年9月以前に同社のブックマークレット機能を利用したことのあるユーザーは、マスターパスワードを変更して新たなパスワードを生成することを検討してもよいとしつつ、「その必要はないとは思うが」と同社はブログ記事の中で述べている。

 LastPassなどいくつかのツールに関して研究チームが指摘した別の脆弱性としては、ワンタイムパスワードの脆弱性がある。パスワード管理ツールにログインしているユーザーが攻撃サイトを訪れた時に、攻撃者がそのユーザーアカウントに対する偽のワンタイムパスワードを生成できるというものだ。

 だが、この攻撃を遂行するには、攻撃者が対象のユーザー名を知っている必要がある上、たとえユーザー名を知ったとしても、そのユーザーのデータを復号化するための鍵は手にしていないとLastPassはブログ記事で述べている。この脆弱性も既に修正済みだ。

 研究チームの調査では、一部のパスワード管理ツールで、クロスサイト・リクエスト・フォージェリ(CSRF)やクロスサイト・スクリプティング(XSS)の脆弱性も見つかった。

 また、ユーザーのパスワードを偽のアカウントと共有できてしまう欠陥や、ユーザーへのフィッシング攻撃につながり得る欠陥が見つかったパスワード管理ツールもあった。

 研究チームは論文の中で、「我々の研究は、Webベースのパスワード管理ツールの開発元に対する警鐘になる」と述べ、「手動で行った分析であるため、他にも未発見の脆弱性が残っている可能性がある」と指摘している。

 研究チームは今後の計画として、こうした脆弱性を自動で割り出すことのできるツールの開発や、「原則に基づいた、構造的に安全なパスワード管理ツール」の開発を挙げている。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

Twitterもチェック

↑ページ先頭へ