1Passwordがリンクでパスワードを安全に共有できる新機能「Psst!」発表

職場や家庭において、パスワードの共有は普通に行われていることだが、それを安全に行うのは難しい。1Password(ワンパスワード)は、この問題を解決するために、アカウントを持っていない人とも安全な方法でログイン情報を共有できる新機能の提供を発表した。これは、Password Secure Sharing Tool(パスワード安全共有ツール)を略して「Psst!」と呼ばれるもので、ユーザーから最も要望の多かった機能の1つだという。

同社の調査によると、多くの企業で従業員による認証情報の再利用が行われているという。そのうち約36%の人が、電子メール、チャットアプリ、スプレッドシート、文書、テキストなどの安全でない方法を介して、他の従業員や顧客とログイン情報を共有していることを認めている。また別の調査では、ほとんどの家庭では家族の間でパスワードを共有しており、その場合もパスワードを書き留めたり、メッセージで送信するなど、安全ではない方法で伝えていることが明らかになったという。

Psst!は、1Passwordのアカウントを持っていない人でもアクセスできる情報のリンクを生成することで、誰とでも認証情報を共有することができる。リンクの有効期間は、1時間から30日の間で選択でき、その後は自動的に期限切れとなる。また、リンクを知っている人全員と認証情報を共有するか、特定の人のみと共有するかを選択することもできる。後者を選択した場合、このサービスでは、アクセスを許可する前に、受信者のメールアドレスを使って本人確認が行われる。

この新機能とともに、1Passwordでは獲得した企業顧客が10万社を超え、従業員数が500名に増えたことも発表された。1PasswordのJeff Shiner(ジェフ・シャイナー)CEOは、声明の中で次のように述べている。

パスワードやその他の認証情報を社外や家族で共有できるようにすることは、最も要望の多かった機能の1つです。1Passwordのお客様だけでなく、すべての人がオンラインで安全に過ごせるようにするために、本日Psst!を発表することができ、私は大変うれしく思います。当社の企業顧客が10万社を超えたことは、企業がパスワードやその他の機密情報をオンラインで保護する必要性を理解していることを明確に示しています。

画像クレジット:1Password

編集部注:この記事はEngadgetに掲載されている。本稿を執筆したMariella Moonは、Engadgetの編集委員。

画像クレジット:1Password

原文へ

(文:Mariella Moon、翻訳:Hirokazu Kusakabe)

セキュリティーソフトClick Studiosが同社製品のデータ侵害に関するツイートを止めるよう顧客に依頼

オーストラリアのセキュリティソフトウェアハウス、Click Studios(クリック・スタジオ)は、同社が顧客に送付したデータ侵害に関するメールをSNSに投稿しないよう通知した。悪意あるハッカーが同社の看板エンタープライズパスワード管理ツールであるPasswordstateに偽のアップデートをプッシュ送信して、客のパスワードを盗めるようにした事象だ。

先週Click Studiosは、同社製のパスワードマネージャーに登録されている「パスワードをすべてリセットするよう」顧客に通知した。4月20~22日のある28時間に、ハッカーが悪意あるアップデートを顧客にプッシュ送信したためだ。悪意のアップデートは、アタッカーのサーバーにアクセスし、パワードマネージャーのコンテンツを盗んでアタッカーに送信するマルウェアを取ってくるように作られていた。

関連記事:アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

顧客向けのメールでClick Studiosは、アタッカーがどうやってパスワードマネージャーのアップデート機能に侵入したのかは言わなかったが、セキュリティ修正へのリンクは載せた。

しかし、侵害のニュースが明るみに出たのは、Click Studiosが顧客にメールを送ってから数時間後に、デンマークのサイバーセキュリティ会社、CSIS Groupが攻撃の詳細をブログに書いた後だった。

Click Studiosによると、Passwordstateは「2万9000以上の顧客」に利用されており、Fortune 500企業、政府、銀行、国防、航空宇宙をはじめとするほとんどの主要産業が含まれている。

Click Studiosは公式ウェブサイトの告知で「Click Studiosのメールをソーシャルメディアに投稿しないよう」顧客に求めている。更にメールで「悪人たちはソーシャルメディアを積極的に監視して、関連するアタックに利用できる情報を探している可能性があります」と付け加えた。

「悪人たちが侵入に関する情報を得て利用しようと、ソーシャルメディアを積極的に監視していることが予想されます。お客様においては悪人に使われる恐れのある情報をソーシャルメディアに投稿しないようお願いいたします。過去には、Click Studioのメール内容を模倣したフィッシングメールが送られるという事象が起こっています」。

侵害が発見されて以来、いくつもの告知を掲載したこと以外、会社はコメントや質問への回答を拒んでいる。

また、同社がこの侵害事象を、顧客のいる米国およびEU当局に伝えたのかどうかもわかっていないが、当地のデータ侵害通知規則は企業が侵害事象を報告することを義務づけている。EUのGDPR(一般データ保護規則)に違反した場合、企業は世界年間売上の最大4%を罰金として支払わなくてはならない。

Click StudiosのCEOであるMark Sanford(マーク・サンフォード)氏はTechCrunchの再三のコメント要求に答えていない。代わりに本誌が受け取ったのは、同社スタッフは「顧客の技術支援だけに集中しています」とするサポート部門からの定形自動メールだけだ。

TechCrunchは米国時間4月29日、サンフォード氏に再度メールを送って最新の告知に関するコメントを求めたが、返信はなかった。

カテゴリー:セキュリティ
タグ:Click StudiosPasswordstateパスワードマネージャーマルウェアパスワードハッキングサイバー攻撃SNS

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

企業向けパスワードマネージャー「Passwordstate(パスワードステート)」を開発しているオーストラリアのソフトウェアハウスClick Studios(クリック・スタジオズ)は、同社のパスワードマネージャーがサイバー攻撃を受けたため、顧客に組織全体のパスワードをリセットするよう警告を出した。

Click Studiosが顧客に送信した電子メールによると、同社は攻撃者が顧客のパスワードを盗むためにパスワードマネージャーのソフトウェアアップデート機能を「侵害」したことを確認したという。

ポーランドのニュースサイト「Niebezpiecznik」が現地時間4月23日にTwitter(ツイッター)に投稿したこのメールには、悪意のあるアップデートによって4月20日から22日の28時間の間に、Passwordstateの顧客が無防備な状態になったと書かれている。この悪意のあるアップデートは、一度インストールされると、攻撃者のサーバーに接続してマルウェアを取得。このマルウェアがパスワードマネージャーの情報を盗み出し、攻撃者に送り返すという仕組みだ。メールでは「Passwordstateに含まれるすべてのパスワードのリセットを開始する」ように顧客に伝えている。

パスワードマネージャー「PasswordState」がハッキングされ、顧客のパソコンが感染した。

メーカーは被害者にメールで通知している。

このパスワードマネージャーは「企業向け」なので、この問題は主に企業に影響を与える…これは痛い!

(情報元:謎めいたペドロ)

Click Studiosは、攻撃者がどのようにしてパスワードマネージャーのアップデート機能を侵害したかについては明らかにしていないが、顧客にはセキュリティ修正プログラムをメールで送信している。

同社によると、攻撃者のサーバーは4月22日に遮断されたという。しかし、攻撃者がシステムを再びオンラインにすれば、Passwordstateのユーザーは依然として危険にさらされる可能性がある。

企業向けパスワードマネージャーは、それを使用する企業の従業員たちが、ファイアウォールやVPNを含むネットワーク機器、共有の電子メールアカウント、内部データベース、ソーシャルメディアアカウントなどのパスワードやその他の機密情報を、組織全体で共有できるようにするものだ。Click Studiosの主張によると、Passwordstateはフォーチュン500企業、政府機関、銀行、防衛・航空宇宙そしてほとんどの主要産業を含む「2万9000以上の顧客」に使用されているという。

被害に遭った顧客には、米国時間4月23日早朝に通知が届いたが、この侵害のニュースが広く知られるようになったのはその数時間後、デンマークのサイバーセキュリティ企業であるCSIS Group(CSISグループ)が攻撃の詳細をブログに掲載してからだ。

Click Studiosの最高経営責任者であるMark Sanford(マーク・サンフォード)氏は、オーストラリアの営業時間外に行われたコメントの要請に応じなかった。

関連記事:インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ

カテゴリー:セキュリティ
タグ:Click StudiosPasswordstateパスワードマネージャーマルウェアパスワードハッキングサイバー攻撃

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)