グーグル、「G Suite」の一部パスワードを暗号化せず14年間も保存していた

Alfred Ng (CNET News) 翻訳校正: 湯本牧子 高森郁哉 (ガリレオ)2019年05月22日 11時33分

 Googleは米国時間5月21日のブログ記事で、「G Suite」の顧客に対し、一部のパスワードを暗号化せず社内サーバーに保存していたと通知した。これはつまり、これらのパスワードを見つけた人は誰もがそのパスワードを平文で読めたということだ。Google Cloud Trustのエンジニアリング担当バイスプレジデント、Suzanne Frey氏は投稿の中で、このバグは企業ユーザーにのみ影響すると述べた。したがって、Googleを無料で利用している人には影響しない。

提供:Stephen Shankland/CNET
提供:Stephen Shankland/CNET

 「われわれは徹底した調査を実施しており、影響を受けたG Suite認証情報への不適切なアクセスや悪用の証拠は確認していない」(Google)

 これは、パスワードをハッシュ化せずに社内サーバーに保存していた問題を発表したテクノロジー大手の最新の事例だ。Facebookは3月、数億件のパスワードが読み取れる状態で社内サーバーに保存されていたと発表した。2018年5月にはTwitterも、バグによってパスワード3億3000万件が平文で保存されていたことを明らかにした。

 標準のセキュリティ慣行では、パスワードを暗号化して社内サーバーに保存するため、従業員はこれらのログイン認証情報を閲覧できないし、悪用もできない。

 Googleは2005年、要望に基づき、管理者らがパスワードを手作業で設定したり復元したりするツールを実装したという(現在は削除済み)。Googleによると、このツールが平文のパスワードのコピーを保存していた。平文のパスワードは過去14年にわたり保存されていたことになる。

 Googleはまた、別のバグにより、ハッシュ化されていないパスワードのサブセットを1月から最大2週間にわたって、安全に暗号化されたインフラ上に誤って保存していたことを明らかにした。この問題も修正済みで、不正アクセスや悪用の痕跡は見つかっていないとしている。同社は、これらのセキュリティ問題の影響を受けた管理者らに通知したという。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]