先週の注目ニュース:パスワードの使い回しは問題ない?

2014年7月25日

パスワード管理の新説?

こんなことを書くと疑い深い人間だと思われるかもしれませんが・・・Microsoftとカナダのカールトン大学のリサーチャーチームが、パスワードの使い回しは大罪ではなく、大量のオンラインアカウントの管理に必要な戦略だという研究報告を発表しました。一見したところでは、世間一般に広く受け入れられている考えを誇示する内容に思えます。しかし、彼らが提唱しているのは、結局のところ階層型のシステムです。つまり、パスワードは使い回すが、最も強力なパスワードを最も取り扱いに注意すべきアカウントに使用して、弱めのパスワードをさほど重要でないアカウントに使うというわけです。

pass

オンラインアカウントごとに異なるパスワードを設定するのが、考えられる範囲で最も安全な選択肢であることに疑問の余地はありません。しかし、ログイン情報の設定のたびに新しいパスワードを作成するというのは面倒ですし、長続きしないでしょう。

リサーチャーらは、パスワード管理ツールも完ぺきではないと主張します。その理由は(お察しかと思いますが)、要するに、こうしたツールにアクセスできればすべての認証情報にアクセス可能となるから、だそうです。

私も全部のオンラインアカウントに別々のパスワードを使っているわけではありません。しかし、お金のやりとりや特に重要な情報に関連するアカウントには、他とは別の強力なパスワードを使うことを強くお勧めします。パスワード管理ツールに関して言えば、私たち個人でできるどんな対策よりも有効です。

今回の動きは、通信内容を傍受しようとする攻撃者などにとって大きな障壁となります

Project Zero

Googleは精鋭ハッカーチームを組織して、他社製ソフトウェアやインターネットの他の部分に潜む脆弱性を根絶しようとしています。顧客や、ひいては自社のビジネスに影響する脆弱性を見つけ出すチームです。バグを発見すると、その製品のベンダーに報告し、ベンダーが問題を修正できるように手助けして、発見したバグをその後に公開します。このチームは「Project Zero」といいます

長年Chromeのセキュリティエンジニアを務め、Project Zeroの責任者に就任したクリス・エヴェンス(Chris Evens)氏は、次のように書いています。「このプロジェクトでは対象範囲を限定していません。利用者数の多いあらゆるソフトウェアのセキュリティ強化に取り組み、攻撃者の手口や標的、動機に注意を払っていきます。我々が採用するのは、大量の脆弱性を特定して報告するといった、標準的なアプローチです。それだけでなく、緩和、開発、プログラム分析など、リサーチャーが価値ある投資と判断したものに関する新たな調査研究を行っていく予定です。」

Appleのメール暗号化

Appleは先週、大規模な暗号化機能を導入しました。iCloud.com、mac.com、me.comドメインについて、同社のサーバーで送受信されるほぼすべてのメールが、ひそかに暗号化されるようになったのです。今回の動きは、通信内容を傍受しようとする攻撃者などにとって大きな障壁となります。

Threatpostの編集者デニス・フィッシャー(Dennis Fisher)が指摘するように、これは決して些細な変化ではありません。

「メールドメインにTLS暗号化を使うというAppleの動きは、大きな変化です。暗号化はサーバーレベルで行われ、ユーザー側で何もしなくてもセキュリティを強化できるからです。デスクトップ上でのメール暗号化が大変な作業であることは周知のとおりですし、その効果は個人レベルです。Appleのような大手プロバイダーが大規模な暗号化を導入すれば、豊富な資金を持つ攻撃者に対しても大きな効果を見込めるでしょう。個人で使うメールの暗号化は、ある種の標的型攻撃なりスパイ行為なりに対する有効な保護手段と考えられていますが、Yahoo!、Google、Appleといった大手メールプロバイダーが他のプロバイダーとの通信を暗号化すれば、多くのユーザーをまとめて保護できるのです。」

修正の数々

パスワード管理ツールの話が出ましたが、ブラウザーベースの人気パスワード管理ツールLastPassが、2つの脆弱性を修正しました。これらのバグを知識が豊富な攻撃者に悪用されると、その攻撃者専用のワンタイムパスワードが生成され、ユーザーのアカウントにアクセスされる恐れがありました。

GoogleがマルウェアやフィッシングWebサイトの警告表示を変更しつつあります。赤い背景に白い字で警告を表示するのではなく、ページ全体が赤くなり、画面上部の目立つ位置に「X」マークが表示されます。マルウェアの警告は、これからアクセスするWebサイトが危険なプログラムをインストールしようとしている可能性を、フィッシングの警告は、アクセスしようとしているWebサイトがユーザーを騙して個人情報を聞き出そうとしている可能性をユーザーに伝えます。

Ciscoはワイヤレスレジデンシャルゲートウェイ製品の脆弱性に対するパッチをリリースし、GoogleはURLのなりすましの問題を解決するChrome for Androidの更新をリリースしました。