Googleが一部のユーザーパスワードを暗号化していない状態で14年もの期間保管していたことが発覚

by 422737

Googleが独自のブログの中で、一部のユーザーパスワードを暗号化していない平文状態のままで14年にもわたって保管してきたことが明らかになったと報告しています。なお、この問題は2005年から起こっていたもので、影響を受けるのは無料のGoogleアカウントユーザーではなく、G Suiteを利用するユーザーアカウントだそうです。

Notifying Administrators About Unhashed Password Storage | Google Cloud Blog
https://cloud.google.com/blog/products/g-suite/notifying-administrators-about-unhashed-password-storage

Google stored some passwords in plain text for fourteen years - The Verge
https://www.theverge.com/2019/5/21/18634842/google-passwords-plain-text-g-suite-fourteen-years

Googleのポリシーは、ユーザーのパスワードを暗号学的ハッシュ関数を用いて秘匿し、安全なセキュリティを確保するというものです。しかし、Googleが管理するユーザーパスワードの一部が暗号化されない状態のままシステム上に保管されていたことが発覚しました。問題が発覚したのはGoogleが提供するG Suiteサービス関連のものであり、同サービスを利用するビジネスユーザーにのみ影響を与えるものです。無料で使用可能なGoogleアカウントユーザーには影響がないとのこと。Googleは企業の管理者と協力して影響を受けた可能性のあるユーザーのパスワードをリセットすることを約束しています。なお、記事作成時点でGoogleは「徹底的な調査を行っており、影響を受けるG Suiteの認証情報が、不適切なアクセスを受けたり誤用されたりした形跡は見られていません」とのことです。

G Suiteは企業向けのGmailやGoogle製の他アプリケーションが使えるというサービスであるため、海外メディアのThe Vergeは「企業向けに設計された機能が原因でバグが発生したようだ」と記しています。そのバグというのは、G Suiteサービスの、「ドメイン管理者が新しいアカウントを作成する際に、ユーザーパスワードをアップロードしたり手動で設定したりすることができる機能」にあった模様。この機能は新規ユーザーが簡単にG Suiteを利用できるようにするためのもので、例えば新入社員用のアカウントをあらかじめ用意しておくためなどに利用されました。しかし、この機能はなぜかパスワードを暗号化せずに平文のまま管理コンソール上に保存してしまう、というバグが発見されたというわけ。なお、Googleは既にこの機能を削除しています。

by JanBaby

バグの影響で少なくともGoogleのサーバー内では、一部のユーザーパスワードが平文のまま保存されていたわけですが、あくまで「Googleのサーバー上」に保存されていたため、別のサーバー上や誰でもアクセス可能な場所に保管されていた場合よりもアクセスが困難であったことは明らかです。The Vergeは、「Googleがハッキリと説明しているわけではないものの、他の平文のままパスワードが漏洩したケースと同じカテゴリでGoogleのバグをひとまとめにして欲しくないのではないか」と記しています。

また、G Suiteユーザー向けの新しいサインアップ方法のトラブルシューティングを行う中で、2019年1月頃から暗号化されていないパスワードのサブセットが、誤って安全な暗号化インフラストラクチャー上に保存されていたケースも発見したとGoogleは報告しています。この問題についても既に修正済みで、影響を受けるパスワードへの不適切なアクセスや誤用は確認できなかったとのことです。

なお、Googleは「我々はエンタープライズ顧客のセキュリティを非常に真剣に受け止め、アカウントセキュリティのための業界のベストプラクティスを進めることに誇りを持っています。我々は自身の基準にも顧客の基準にも沿えなかったことについて、ユーザーにお詫び申し上げます」としています。