Google、ビジネス用G Suiteのパスワードをハッシュ化しないまま14年間も放置

  • author Patrick Howell O'Neill - Gizmodo US
  • [原文]
  • Kaori Myatt
Google、ビジネス用G Suiteのパスワードをハッシュ化しないまま14年間も放置
Image: Piotr Swat / Shutterstock.com

きた、きてましたよ、うちにも。

Googleから最近「ACTION REQUIRED」というメールを受け取った方、要注意ですよ。ビジネスでG Suiteを使っている場合に、一部メールアドレスの認証情報を変えるようにGoogle(グーグル)が警告しています。G Suiteのアドレスすべてが影響を受けているわけでもないようですが、管理アドレスをチェックしたほうがいいかもしれません。


無料サービスのユーザーは関係なし

Googleが近ごろ発表したバグ報告。それによれば、Googleのビジネス用クラウドアプリG Suiteのパスワードが、ここ14年間、暗号化はされていたものの、 ハッシュ化されていなかったことが明るみにでています。このバグのせいでGoogle社員が保存してあったパスワードを簡単に知ることができた状態にあったようです。これについてGoogleは、特にパスワードが漏れたという形跡はない、としていますが。 それにしても14年間って。

この不備はビジネス向けのG Suiteユーザーのみが対象となり、Google製品の無料ユーザーには影響はない模様。

「徹底した調査を行なったところ、影響のあったG Suiteの認証情報に不正アセクスがされたり、不正使用されたという形跡はない」とGoogle Cloudのエンジニアリング ヴァイスプレジデントのスザンヌ・フレィ氏。

とりあえずは不正使用の形跡なし

ハッシュ化は、Googleがユーザーの認証情報を知ることなく保存できる便利な技術です。Googleのサインインシステムは保存されたハッシュ値の中からパスワードを置き換えたハッシュ値をマッチさせることで認証情報を保護しています。これによりアカウントの安全性が守られるのです。

事の発端は、どうやら2005年に作られた新入社員のパスワード保存用の管理者向けツール。新規ユーザーの登用をするこのツールが、実は認証情報を暗号化していたもののGoogleのハッシュアルゴリズムを経由していなったようです。

Googleはすでに問題は解決され、安全だと強調しています。

「これらのパスワードはセキュアな暗号インフラにとどまっていたので、大丈夫です。問題は現在ではすでに修正され、影響のあったパスワードに不正アクセスや不正使用があったりした形跡はありません」

また、同時にGoogleは社内でハッシュ化されていない状態のパスワードが2週間も放置されていたことも暴露しています。

影響を受けた管理者にはすでに通知済みとのこと。

こんなことがあるからこそ、マルチ段階認証は重要なのですね。パスワードが漏れたりしたら、悪用するのは簡単です。幸いなことに悪用はされていなかったようですが、 まだの方は今からでも二段階認証などを採用したほうがよいでしょう。さあ、今すぐ設定を。

また、物理的にこんなのを使って身を守るというのもアリかも。

    あわせて読みたい

    powered by