グーグル、「G Suite」の一部パスワードを暗号化せず14年間も保存していた

　Googleは米国時間5月21日のブログ記事で、「G Suite」の顧客に対し、一部のパスワードを暗号化せず社内サーバーに保存していたと通知した。これはつまり、これらのパスワードを見つけた人は誰もがそのパスワードを平文で読めたということだ。Google Cloud Trustのエンジニアリング担当バイスプレジデント、Suzanne Frey氏は投稿の中で、このバグは企業ユーザーにのみ影響すると述べた。したがって、Googleを無料で利用している人には影響しない。

提供：Stephen Shankland/CNET

　「われわれは徹底した調査を実施しており、影響を受けたG Suite認証情報への不適切なアクセスや悪用の証拠は確認していない」（Google）

　これは、パスワードをハッシュ化せずに社内サーバーに保存していた問題を発表したテクノロジー大手の最新の事例だ。Facebookは3月、数億件のパスワードが読み取れる状態で社内サーバーに保存されていたと発表した。2018年5月にはTwitterも、バグによってパスワード3億3000万件が平文で保存されていたことを明らかにした。

　標準のセキュリティ慣行では、パスワードを暗号化して社内サーバーに保存するため、従業員はこれらのログイン認証情報を閲覧できないし、悪用もできない。

　Googleは2005年、要望に基づき、管理者らがパスワードを手作業で設定したり復元したりするツールを実装したという（現在は削除済み）。Googleによると、このツールが平文のパスワードのコピーを保存していた。平文のパスワードは過去14年にわたり保存されていたことになる。

　Googleはまた、別のバグにより、ハッシュ化されていないパスワードのサブセットを1月から最大2週間にわたって、安全に暗号化されたインフラ上に誤って保存していたことを明らかにした。この問題も修正済みで、不正アクセスや悪用の痕跡は見つかっていないとしている。同社は、これらのセキュリティ問題の影響を受けた管理者らに通知したという。