画像: Google
Googleは、10年以上もパスワードが不注意で公開された問題を受けて、「一部のエンタープライズG Suite顧客」にパスワードの変更を強制し始めた。
Googleは火曜日のGoogle Cloudブログ投稿で、2005年に発生したエラーについて説明しました。このエラーでは、通常の暗号化された「ハッシュ化」されたパスワードではなく、実際のユーザーパスワードのコピーが保存されていたため、外部からの攻撃者が使用可能なパスワードにアクセスできてしまう可能性がありました。Googleはこの問題は修正済みであり、「影響を受けたパスワードへの不正アクセスや不正使用の証拠は確認されていない」と説明しています。
グーグルは、パスワードは依然として「安全な暗号化インフラ」上に保管されているため、外部からの攻撃の可能性は低いと述べている。
Googleは、この問題の原因はレガシー機能セットにあると主張しています。2005年当時、G Suiteドメイン管理者はクライアント側で自社ユーザーのパスワードを設定・復旧する権限を与えられていましたが、そのためにはハッシュ化されていないパスワードにアクセスする必要がありました。その後、Googleはこの機能を廃止し、Gmailと同様に、G Suiteのすべてのパスワードは復旧ではなくリセットを義務付けています。
さらに、Googleは1月に発生した別の問題も発見しました。この問題もハッシュ化されていないパスワードが最大14日間保存される原因となっていました。他の問題と同様に、Googleはこの問題を修正しており、「影響を受けたパスワードへの不正アクセスや不正使用」の証拠は見つかっていないとのことです。
このため、Googleは影響を受けたすべてのクライアントに対し、影響を受けたパスワードを変更するよう通知し、手動で変更されていないパスワードはリセットします。Googleはこの問題について謝罪し、今後は「より適切に対処」することを約束しました。
この問題はGmailユーザー(G Suiteユーザー以外)には影響しませんが、重要なサイトやサービスごとに強力で固有のパスワードを使用する必要性を改めて認識させられます。まだパスワードマネージャーをご利用でない方は、ぜひご利用になることをお勧めします。パスワードマネージャー選びでお困りの方は、おすすめのパスワードマネージャーをまとめたこちらの記事が参考になるでしょう。
