KeePassパスワードマネージャーのユーザーは、今後数週間ほど、特に注意を払う必要があるかもしれません。新たに発見された脆弱性により、データベースがロックされているかプログラムが終了している場合でも、マスターパスワードを平文で取得することが可能です。修正は現在開発中ですが、早くても6月上旬まで公開されません。
(更新、2023 年 6 月 5 日: この脆弱性を修正した KeePass バージョン 2.54 が利用可能になりました。)
Bleeping Computer(この問題の技術的詳細を網羅)が報じているように、vdohneyというセキュリティ研究者が、この脆弱性を悪用した攻撃を実証する概念実証ツールを公開しました。攻撃者はメモリダンプを実行し、KeePassデータベースが閉じられている場合、プログラムがロックされている場合、あるいはプログラムが起動していない場合でも、マスターパスワードの大部分を平文で収集できます。メモリから抽出されたパスワードの最初の1~2文字は欠落していますが、それを推測することでパスワード全体を解読できます。
メモリダンピングの脆弱性に馴染みのない方のために説明すると、このシナリオはKeePassのマスターパスワードをズボンのポケットに入れた小銭のようなものだと考えてください。ズボンを振れば、データベースへのアクセス権を購入するのに必要なほぼ全額(いわば)が手に入ります。しかし、そもそもポケットの中に小銭が入っているべきではありません。
概念実証ツールはWindowsでこの問題を実証していますが、LinuxとmacOSも脆弱性を抱えていると考えられます。これは、問題がオペレーティングシステムではなくKeePassに存在するためです。Windowsの標準ユーザーアカウントも安全ではありません。メモリダンプには管理者権限は必要ありません。このエクスプロイトを実行するには、悪意のある攻撃者がコンピューターにリモートアクセス(マルウェアを介して)するか、物理的にアクセスする必要があります。
KeePass 2.xの既存バージョン(例:2.53.1)はすべて影響を受けます。一方、vdohney氏によると、KeePass 1.x(現在もメンテナンスが行われている旧バージョンのプログラム)、KeePassXC、StrongboxといったKeePassデータベースファイルと互換性のある他のパスワードマネージャーは影響を受けないとのことです。
この脆弱性の修正は、6月上旬にリリースされる予定のKeePassバージョン2.54で提供される予定です。KeePassの開発者であるDominick Reichl氏は、SourceForgeフォーラムでこの予測を示しましたが、リリース時期は保証されていないという但し書きを付けました。セキュリティ対策を講じたKeePassの不安定なテスト版は現在公開されています。Bleeping Computerによると、概念実証ツールの作成者は、修正を適用した状態でも問題を再現できなかったとのことです。
ただし、KeePassの修正版にアップグレードした後でも、マスターパスワードがプログラムのメモリファイルから閲覧可能な場合があります。これを完全に防ぐには、既存のデータを上書きするモードでPCを完全に消去し、オペレーティングシステムを再インストールする必要があります。
しかし、これはかなり思い切った対策です。もっと現実的な方法としては、信頼できない人にコンピューターへのアクセスを許可せず、不明なリンクをクリックしたり、不明なソフトウェアをインストールしたりしないことです。優れたウイルス対策プログラム(当社の推奨プログラムなど)も役立ちます。KeePassの修正版がリリースされたら、アップグレード後にマスターパスワードを変更することもできます。そうすれば、以前のパスワードがまだメモリファイルに残っている場合でも、無効になります。
PCを再起動し、休止状態ファイルとスワップファイルを消去し、KeePassXCなどの安全な代替手段を使ってKeePassデータベースに一時的にアクセスすることでも、リスクを軽減できます。デバイスの暗号化は、PCへの物理的な攻撃(または、PCを寄付または廃棄した後に誰かがこの情報をマイニングする可能性があると思われる場合)への対策としても役立ちます。保護を維持する方法はいくつかありますが、幸いなことに、これは概念実証段階の懸念事項であり、実際に悪用されている脆弱性ではないようです。
編集者注: この記事はもともと 2023 年 5 月 19 日に公開され、この脆弱性を修正した KeePass バージョン 2.54 へのリンクを追加して 2023 年 6 月 5 日に更新されました。
著者: Alaina Yee、PCWorld 上級編集者
テクノロジーとビデオゲームのジャーナリズムで14年のキャリアを持つアライナ・イーは、PCWorldで様々なトピックをカバーしています。2016年にチームに加わって以来、CPU、Windows、PCの組み立て、Chrome、Raspberry Piなど、様々なトピックについて執筆する傍ら、PCWorldのバーゲンハンター(#slickdeals)としても活躍しています。現在はセキュリティに焦点を当て、人々がオンラインで自分自身を守る最善の方法を理解できるよう支援しています。彼女の記事は、PC Gamer、IGN、Maximum PC、Official Xbox Magazineに掲載されています。
