【世界一タメになるあの業界のぶっちゃけ話】(06) パスワードマネージャって便利そうだけど、どうなの?

インターネットで様々なサービスを利用する為には、其々のサイトでIDとパスワードが必要となってくる。しかし、それはあまりにも面倒な為、“OpenID”と呼ばれる仕組みができ、『フェイスブック』・『ツイッター』・『Yahoo! Japan』のログインIDとパスワードを流用してログインできるサービスも広がってきた。しかし、全てのウェブサイトが対応している訳ではなく、特にオンラインバンキングでは専用のIDが必要な為、忘れてしまいそうになる。覚えるのが面倒なので、電子メールアドレスと、いつも使っているパスワードを使い回してしまいがちだ。だが、よく考えてほしい。IDとパスワードを悪意ある者が取得すれば、金庫の鍵を得た犯罪者のようにどこにでも侵入し、本人に変わって様々な金銭的価値のある情報や物資を得ることが可能だ。即ち、IDとパスワードは銀行の口座番号と暗証番号に準ずるものと考えるのが正しい。そこで便利なのがパスワードマネージャだ。管理方法は、大きく3種類に分けることができる。セキュリティーソフトに付帯し“パソコン内にパスワードを暗号化して保管するソフト”・クラウド上にパスワードを保管する“クライアントサーバ型のサービス”・ウェブブラウザの“パスワード管理機能”だ。『Google Chrome』や『Firefox』を利用すると、パスワードを保存するか聞いてくるので、利用している人もいるだろう。ウェブブラウザのパスワードマネージャは、ブラウザが保管したパスワードを『Google』や『Mozilla』が管理するサーバへ転送することで、クラウド上でパスワードが管理される。パソコンで登録したパスワードがスマホでも利用でき、とても便利だ。しかし、機能は単純なので、初回に入力されたパスワードを記録するだけで、暗号化されたパスワードを推奨してくれることも無いし、パスワードを再表示させる機能も無い。パスワードを忘れたり、パスワードマネージャで整合性が取れなくなったら、パスワードを再発行するしかない。また、ウェブブラウザに依存しないマルチプラットフォーム対応のクラウドサービスとして、『Dashlane』・『Last Pass』・『LogMeOnce』等が人気を集めている。セキュリティーソフトに付帯するものとしては、『トレンドマイクロ』のパスワードマネージャが日本では多くの利用者を確保しているとみられている。若し、貴方が悪意を持った犯罪者だったとして考えてみてほしい。金銭的価値のあるIDとパスワードが膨大に保管されたパスワードマネージャが何に映るか? そう、金銀財宝が入った宝箱なのだ。

高い山があるから登山をする登山者と同じく、クラッカー(悪意ある技術者)にとっては、困難であればあるほど突破して得たいものだ。しかし、完全に登頂可能でない山であったら無駄骨になる。クラッカーは効率性も考えて、最近は組織的に行動している。セキュリティーソフトのオマケソフト、クラウドサービス、ブラウザのパスワード管理。どの仕組みが効率的に、その中の情報を取得し易いのだろう? 一番想定されるのが、クラウドサービス会社のサーバに脆弱性がないか、エクスプロイト攻撃で脆弱性を探し出すことを試みるだろう。このようなサービス会社が脆弱性を抱えたままであることはあまり考えられないが、新たな脆弱性に対するゼロデイ攻撃は可能であろう。ウェブブラウザの開発は優秀な技術者を豊富に抱え、セキュリティーの専門家が多く在籍している為、ブラウザのパスワード管理機能のクラックはかなり困難であると推測される。険し過ぎる山なのだ。難易度を加味した場合、最終的にマーケットシェアが高いセキュリティーソフトのオマケ的に付帯しているパスワードマネージャが第1ターゲットになる。トレンドマイクロが提供しているパスワードマネージャは、悪意ある者に未だ狙われたことは無さそうだが、Googleのセキュリティーチーム『Project Zero』のタビス・オルマンディ氏により、30秒ほど足らずの調査で脆弱性(CVE-2016-3987)を発見されてしまうということが今年発表されている。指定された点は即座にトレンドマイクロに伝えられ、修正版が提供されたが、その版においても遠隔でコード実行される潜在的な危険を持つAPIが70個以上も発見されるというお粗末さであった。現在は修正されているので安心して利用できるが、このようなことはクライアント側に保存するパスワードマネージャにはあることを覚えておこう。筆者は、有償のクラウド型パスワードマネージャを利用している。勿論、各サイト毎にパスワードマネージャで発行された暗号化パスワードを利用している。これで、特定のサイトから情報流出が起きても、そのサイトのパスワードを変更すればそれで済んでしまう。以前、『myspace』・『LinkedIn』・『Adobe』・『Tumblr』から大量のメールアドレスとパスワードが流出したことで、慌てた方も多いのではないだろうか。それに関しては、『Have I been pwned?』で自分の情報が流失したことがあるか調べることができる。インターネットでは物理的な鍵が無い為、パスワードの管理はより慎重に行う必要があることを覚えておきたい。パスワードは定期的に変更する必要はない。強固な暗号キーでパスワードを生成することが重要なのだ。


大森御飯(おおもり・ごはん) インターネット黎明期より、通信機器やセキュリティーに携わる。帰国子女で、セキュリティー関係者との国際的な交流を築いている。


キャプチャ  2016年10月号掲載
スポンサーサイト

テーマ : ITニュース
ジャンル : ニュース

轮廓

George Clooney

Author:George Clooney

最新文章
档案
分类
计数器
排名

FC2Blog Ranking

广告
搜索
RSS链接
链接
QR码
QR