パスワード（用語）

Ubisoft「サイバーインシデント」後に従業員のパスワードをリセットした理由を明言せず

ゲーム業界大手のUbisoft（ユービーアイソフト）は、会社のパスワードが大量にリセットされたセキュリティインシデントを確認したが、実際の事件の内容については明言を避けた。

Ubisoftは簡単な声明の中でこう述べている。「先週、Ubisoftは当社のゲーム、システム、サービスの一部に一時的な混乱を引き起こすサイバーセキュリティインシデントを経験しました。当社のITチームは、外部の一流専門家と協力して、この問題を調査しています。予防措置として、全社的にパスワードのリセットを開始しました」。

「また、当社のすべてのゲームとサービスは正常に機能しており、現時点では、この事件の副産物としてプレイヤーの個人情報にアクセスまたは暴露された証拠はないことをお知らせします」と声明は述べている。

フランスに本社を置く同ゲーム会社は「Assassin’s Creed （アサシンクリード）」や「Far Cry（ファークライ）」シリーズで知られている。10月に発表された同社の最新の業績報告書によると、Ubisoftのアクティブプレイヤー数は1億1700万人とされる。

ユーザーのパスワードや従業員の認証情報が漏洩した恐れがある場合、企業がパスワードのリセットを開始するのは珍しいことではない。

TechCrunchは、Ubisoftにいくつかの質問を送った。その中で、ネットワークへの侵入かどうかなど、サイバーセキュリティインシデントの性質について説明するよう求め、不正なデータアクセスや流出の証拠を検出するためのログなどの手段を有しているかどうかを尋ねている。ログがあれば、データが流出したかどうかを、ログがなく証拠もない場合よりも高い確度で知ることができる。

Ubisoftの広報担当者は、このインシデントに関して「これ以上共有する情報は何もない」と述べている。

画像クレジット：Frederic J. Brown / Getty Images

［原文へ］

（文：Zack Whittaker、翻訳：Den Nakano）

単純なセキュリティバグが大学キャンパスの「マスターキー」になっている

Erik Johnson（エリック・ジョンソン）氏は、大学のモバイル学生IDアプリがまともに使えなかったとき、何か回避方法はないかと探した。

そのアプリはかなり重要で、彼の通っている大学の学生は、これを使って食事代を払ったり、イベントに参加したり、さらには寮の部屋や研究室を始めキャンパスのさまざまな施設の鍵を開けることもできる。GET Mobile（ゲット・モービル）と呼ばれるそのアプリを作ったのはCBORD（シーボード）というテクノロジー企業で、病院や大学にアクセス制御や決済のシステムを提供している。しかしジョンソン氏（およびアプリのレビューに不満の星１つをつけた多くの人たち）は、アプリは動きが遅くロードに時間がかかりすぎると言っていた。もっといい方法があるはずだ。

そして彼は、寮室の鍵を開けた瞬間のアプリのネットワークデータを解析することで、ネットワークリクエストを再現することに成功し、iPhoneのショートカットボタンを1タップするだけでドアを解錠できるようになった。ただしこのショートカットが動作するためには、自分の正確な位置情報をアンロックリクエストと一緒に送る必要があり、それがないと鍵は開かない。ジョンソン氏は、セキュリティの観点からこのアプリを使ってドアを解錠する際に学生は物理的にドアの近くにいなくてはならないようになっていると語った。キャンパス内のあちこちで誤ってドアが開いてしまうことを防ぐための措置だ。

まずはうまくいったが、ここでやめる必要はある？アプリを使わずにドアをアンロックできるとしたら、他にどんな動作を再現できるだろうか？

ジョンソン氏は広く助けを求める必要がなかった。CBORDは、APIを通じて使えるコマンドの一覧表を公開しており、APIは学生の識別情報（例えば彼自身の）を使って制御することができた（各APIでは、インターネットを通じて2つの実体がやり取りすることが可能で、この場合はモバイルアプリと大学の学生データが保存されているサーバー）。

しかし、すぐに彼はある問題を見つけた。APIは学生の識別情報が有効であるかどうかをチェックしていなかった。つまりこれはジョンソン氏、あるいはインターネット上の誰でもが、このAPIを使って他のあらゆる学生のアカウントを、パスワードを知る必要なく乗っとることができるを意味している。ジョンソン氏によると、APIは学生のユニークIDだけをチェックしていたが、ときとしてそのIDは大学が発行した学生のユーザー名あるいは学生ID番号であり、大学によってはオンライン学生名簿で公開しているため秘密とはいえないと同氏は警告した。

ジョンソン氏はこのパスワードバグを、大学の「マスターキー」と評した、少なくともCBORDで制御されているドアに対しての。解錠するためにドアの近くにいなくてはならないという要件についても、バグのおかげで物理的にそこにいるとAPIを思い込ませることができたとジョンソン氏は言った。鍵そのもののおおよその座標を送るだけでよかった。

バグはAPI自身にあることから、他の大学にも影響を与えている可能性があるとジョンソン氏はいうが、アカウントのアクセス境界を超えることを恐れて、チェックはしていない。代わりに彼は、バグをCBORDに報告する手段を探したが、同社のウェブサイトで安全な専用メール窓口を見つけることはできなかった。彼は電話サポートにつないで脆弱性を報告したが、サポート担当者は、会社にセキュリティ窓口はないと答え、バグは大学を通じて報告するように言われた。

このバグは容易に悪用が可能（すでに実行されているかもしれない）であることを踏まえ、ジョンソン氏はTechCrunchに、脆弱性の詳細をCBORDに伝えるよう依頼した。

脆弱性はTechCrunchが2月12日に会社に連絡を取ってからまもなく解決した。CBORDの最高情報責任者、Josh Elder（ジョシュ・エルダー）氏はメールで、問題の脆弱性は解決済みであり、セッションキーは無効化されため、残存していた可能性のあるAPIへの不正アクセスも遮断されたことを確認した。エルダー氏は、CBORDの顧客に通知を送ったと言ったが、メール内容をTechCrunchに知らせることは拒んだ。CBORDを使用している別の組織のセキュリティ担当幹部は、CBORDからその脆弱性に関する通知を受けていない、とTechCrunchに話した。果たしてCBORDが、ユーザーやアカウント保有者、例えばジョンソン氏のような学生に通知するつもりがあるのかどうか、わかっていない。

エルダー氏はジョンソン氏の発見に異議を唱えなかったが、会社がログを保存しているか、あるいはAPIの悪用を検知する仕組みがあるのかという質問に対してそれ以上の回答を拒んだ。TechCrunchは同社広報担当者に追加質問への回答を要求したが、その後連絡を受けていない。

遠隔からドアを解錠できる脆弱性をCBORDが修正しなくてはならなかったのはこれが初めてではない。Wiredは2009年に、ドアの解錠コマンドを傍聴することで次のシーケンス番号を予測し、IDカードの要求を回避できることを報じた。

画像クレジット：Olena Ruban / Getty Images

［原文へ］

（文：Zack Whittaker、翻訳：Nob Takahashi / facebook ）

リモートワークとクラウドの大量導入で1Passwordが約706億円の特大資金獲得、評価額約7740億円に

パスワード管理プラットフォームの1Passwordが6億2000万ドル（約705億7000万円）という巨額のシリーズCを終え、68億ドル（約7739億5000万円）の評価額となった。

この投資をリードしたのはIconiq Growthで、Tiger GlobalやLightspeed Venture Partners、Backbone Angels、そして同社の2億ドル（約227億6000万円）のシリーズAと1億ドル（約113億8000万円）のシリーズBをリードしたAccelが参加した。その他の投資家としてCrowdStrikeのCEOであるGeorge Kurtz（ジョージ・カーツ）氏やGeneral MotorsのCEOであるMary Barry（メアリー・バリー）氏、そしてLinkedInの会長Jeff Weiner（ジェフ・ワイナー）氏らも参加した。また、このラウンドでは個人投資家のRyan Reynolds（ライアン・レイノルズ）氏やRobert Downey Jr.（ロバート・ダウニー・Jr.）氏、そしてJustin Timberlake（ジャスティン・ティンバーレイク）氏らからの投資もあった。

この特大のラウンドは、1Passwordのこの1年間の目覚ましい成長の結果によるものだ。同社はTechCrunchに、2021年7月のシリーズB調達以来、有料ビジネス顧客ベースが9万人から10万人以上に増え、Datadog、Intercom、Snowflakeなどの大企業加入者を加え、社内従業員数を475人から570人に増えたと述べている。この背景には、リモートワークやハイブリッドワークの継続、クラウドアプリの急速な普及、仕事による燃え尽き症候群の加速という3つの要因があると同社はいう。

同社によると、後者の点は特に懸念すべきサイバーセキュリティの脅威となりつつあるという。オフィスワーカーの80％、セキュリティ専門家の84％が、パンデミックの結果、燃え尽きたと感じており、12％が結果的に職場のすべてのものに同じパスワードまたはほんの数種のパスワードを使っていることが判明しているという。

「ストレスや燃え尽き症候群があると、2つのことが起こることがわかっています。まず、人は簡単な方法を探します。過労になると、セキュリティを後回しにするようになるのです。ストレスと燃え尽き症候群のもう1つの副作用は、変化したいという願望であり、それは大量辞職が起こります。IT部門が認識していないアプリやサービスを持ち出すことになるので、セキュリティの問題につながります」と1PasswordのCEOであるJeff Shiner（ジェフ・シャイナー）氏はいう。

1Passwordは、今回調達した資金を継続的な成長のために使用する。同社は、エンジニアリングおよびカスタマーサポートチームを3倍に増やし、サインインの成功と失敗を可視化する、ビジネスに焦点を当てたイベントAPI機能を構築し、さらに買収資金を調達する予定だという。

「戦略的買収を検討しています」とシャイナー氏はいう。「私たちは2021年にSecret Hubを買収しましたが、今後も買収を検討し、それらが私たちのミッションと目標の達成にどのように役立つかを検討していきます」。

最終的に、シリーズCの資金調達ラウンドで1Passwordにかなりの資金が提供されたが、Shiner氏は同社には「まだ」イグジットの計画はないという。

シャイナー氏にとって「資金は、これから大きなことをやろうとするときの安心材料」になるという。

画像クレジット：Boris Zhitkov/Getty Images

［原文へ］

（文：Carly Page、翻訳：Hiroshi Iwatani）

1Passwordがリンクでパスワードを安全に共有できる新機能「Psst!」発表

職場や家庭において、パスワードの共有は普通に行われていることだが、それを安全に行うのは難しい。1Password（ワンパスワード）は、この問題を解決するために、アカウントを持っていない人とも安全な方法でログイン情報を共有できる新機能の提供を発表した。これは、Password Secure Sharing Tool（パスワード安全共有ツール）を略して「Psst!」と呼ばれるもので、ユーザーから最も要望の多かった機能の1つだという。

同社の調査によると、多くの企業で従業員による認証情報の再利用が行われているという。そのうち約36％の人が、電子メール、チャットアプリ、スプレッドシート、文書、テキストなどの安全でない方法を介して、他の従業員や顧客とログイン情報を共有していることを認めている。また別の調査では、ほとんどの家庭では家族の間でパスワードを共有しており、その場合もパスワードを書き留めたり、メッセージで送信するなど、安全ではない方法で伝えていることが明らかになったという。

Psst!は、1Passwordのアカウントを持っていない人でもアクセスできる情報のリンクを生成することで、誰とでも認証情報を共有することができる。リンクの有効期間は、1時間から30日の間で選択でき、その後は自動的に期限切れとなる。また、リンクを知っている人全員と認証情報を共有するか、特定の人のみと共有するかを選択することもできる。後者を選択した場合、このサービスでは、アクセスを許可する前に、受信者のメールアドレスを使って本人確認が行われる。

この新機能とともに、1Passwordでは獲得した企業顧客が10万社を超え、従業員数が500名に増えたことも発表された。1PasswordのJeff Shiner（ジェフ・シャイナー）CEOは、声明の中で次のように述べている。

パスワードやその他の認証情報を社外や家族で共有できるようにすることは、最も要望の多かった機能の1つです。1Passwordのお客様だけでなく、すべての人がオンラインで安全に過ごせるようにするために、本日Psst!を発表することができ、私は大変うれしく思います。当社の企業顧客が10万社を超えたことは、企業がパスワードやその他の機密情報をオンラインで保護する必要性を理解していることを明確に示しています。

画像クレジット：1Password

編集部注：この記事はEngadgetに掲載されている。本稿を執筆したMariella Moonは、Engadgetの編集委員。

画像クレジット：1Password

［原文へ］

（文：Mariella Moon、翻訳：Hirokazu Kusakabe）

電子メールソフトの「自動検出」機能がパスワード漏洩の原因に

運送会社、発電所、投資銀行といった業種に共通点はそれほど見られない。だが、新たな調査によると、これらの企業が自社の従業員の数千件もの電子メールのパスワードを不注意で漏洩させていることがわかった。これは広く使われている電子メールプロトコルの設計上の欠陥によるものだ。

企業が自社の電子メールサーバーをホストするために広く使われている電子メールソフトウェア「Microsoft Exchang」には、Autodiscoverと呼ばれる自動検出機能が搭載されており、従業員の電子メールアドレスとパスワードを入力するだけで、携帯電話やパソコン上のアプリの初期設定を行うことができる。これは、例えば、電子メールやカレンダーのアプリを設定する際に、手動で設定するのではなく、面倒な作業をサーバーに肩代わりさせることで、より簡単に設定できるようにするためのものだ。

そうすると、ほとんどのアプリは、会社のドメイン上の既知の場所にある設定ファイルを探そうとする。ある場所を探して見つからないと、アプリは「失敗した」として同じドメインの別の場所を探す。それでもファイルが見つからなければ、ユーザーは不便な思いをすることになる。

しかし、一部のアプリは、壁にぶつかる前に、うっかり一歩進んで「失敗」してしまう場合がある。これは問題だ。そのようなアプリは、ユーザーから見えないところで、会社の管理外だが同じトップレベルドメイン内にあるドメイン名と通信しようとするからだ。例えばcompany.comは、autodiscover.comで設定ファイルを探すことになる。すると、そのドメイン名を所有している人物は、インターネット上から送信されてくる電子メールアドレスやパスワードを「聞く」ことができるのだ。

研究者たちは何年も前から、電子メールソフトウェアはこの種のデータ漏洩に弱く、企業の認証情報を危険にさらす可能性があると警告してきた。当時、いくつかのソフトウェアは修正されたが、今でも問題が解消されていないことは明らかだ。

2021年4月、サイバーセキュリティ企業のGuardicore Labsは、autodiscover.uk、autodiscover.frなど、最も一般的なトップレベルドメインのautodiscoverドメインを取得し、漏洩してきたリクエストが届いたら「聞く」ように設定した。

Guardicoreによると、それから4カ月の間に、これらのドメインにアクセスしてくる34万件のExchangeメールボックスの認証情報を確認したとのこと。企業によっては、これらの資格情報を使ってそのドメインにログインすることを許可しているところもあり、もし悪意のあるハッカーに悪用されたらというリスクがある。また、これらの認証情報はプレーンテキストでインターネット上に送信されるので、相手側で読み取ることができるという。

他の9万6000件のExchange認証情報は、はるかに強力で復号化できないプロトコルを使用して送信されていたが、同じ認証情報を暗号化されていない平文で送信するように仕向けられる可能性があった。

Guardicoreの北米担当セキュリティ研究責任者であり、今回の調査の著者であるAmit Serper（アミット・サーパー）氏は、暗号化された認証情報を、より弱いセキュリティレベルを使用してメールアドレスとパスワードを再度送信するようアプリに要求して跳ね返し、アプリが認証情報を平文で再送信するように促す攻撃方法を開発した。

サーパー氏は、この攻撃を「The ol’ switcheroo（懐かしのどんでん返し）」と名付けた。

サーパー氏によると、このドメインでは、不動産会社、食品メーカー、中国の上場企業の認証情報も漏洩されていたという。

一般的なユーザーにとって、この漏洩は事実上目には見えないものだ。Guardicoreは、アプリメーカーの多くがまだ修正プログラムを提供していないため、流出した認証情報の最大の原因となったアプリの名前を直ちに挙げることはしていない。アプリの修正が完了したら、これらのドメインはシンクホール化されるが、悪意のあるアクターの手に渡らないように、Guardicoreの管理下に置かれたままにしておくと、サーパー氏はTechCrunchに語った。

Guardicoreの管理下にあるドメインだけで完全というわけではないが、企業やユーザーは、トップレベルにおける自動検出ドメインをブロックすることで、独自の予防策を講じることができると、サーパー氏は述べている。また、アプリメーカーも、自社のアプリを企業のドメイン外で上位に向かって「失敗」させないようにすることで対策できる。

画像クレジット：Kittiphat Abhiratvorakul

［原文へ］

（文：Zack Whittaker、翻訳：Hirokazu Kusakabe）

マイクロソフトがパスワードレス認証を一般消費者向けアカウントにも導入へ

Microsoft（マイクロソフト）は、すべての消費者向けMicrosoftアカウントにパスワードレス認証オプションを導入することで、ユーザーのパスワード離れをさらに推し進めようとしている。

同社は業界の他の多くの企業と同様に、従来のパスワードベースの認証との戦いをしばらくの間続けてきた。脆弱なパスワードや再利用されたパスワードは、推測されたり、自動化されたブルートフォース攻撃の格好の標的となるからだ。

関連記事：Windows 11の提供開始は10月5日から、マイクロソフトが発表

そのため、数週間後に迫ったWindows 11の発売に向けてMicrosoftは、これまで法人顧客のみに提供していたパスワードレス認証オプションを、すべてのMicrosoftアカウントに展開すると発表した。これによりユーザーは、OutlookやOneDriveなどのサービスに、パスワードを使わずにサインインできるようになる。代わりに、ユーザーはMicrosoft Authenticatorアプリ、Windows Hello、セキュリティキー、SMSまたはEメールで送信されるコードを使用できる。

ただし、Office 2010以前のバージョン、リモートデスクトップ、Xbox 360など、一部のMicrosoftアプリケーションでは、引き続きパスワードが必要となる。同様に、現在サポートされていないバージョンのWindowsを使用しているユーザーも、まだパスワードを捨てることはできない。この機能はWindows 10とWindows 11でのみサポートされる。

Microsoftによると、パスワードレス認証は今後数週間のうちに一般ユーザーのアカウントに導入される予定とのことで、まだすぐにはパスワードを捨てられないかもしれない。また同社は、Azure ADアカウントのパスワードをなくす方法にも取り組んでおり、管理者は特定のユーザーに対してパスワードを必要とするか、許可するか、あるいは存在しないかを選択できるようになるという。

画像クレジット：Getty Images

［原文へ］

（文：Carly Page、翻訳：Aya Nakazato）

パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達

世界からパスワードをなくすことをミッションとしているボストンのスタートアップTransmit Securityが、シリーズAで5億4300万ドル（約601億円）という巨額の資金を調達した。

今回の資金調達ラウンドはサイバーセキュリティ史上最大のシリーズA投資であると同時に、ブートストラップ企業としては最高の評価額の1つであると言われている。Insight PartnersとGeneral Atlanticがこのラウンドをリードし、さらにCyberstarts、Geodesic、SYN Ventures、Vintage、Artisanal Venturesが出資した。

関連記事：「ゼロトラストモデル」のおかげでスタートアップ企業もパスワードレスに

Transmit Securityのプレマネー評価額は22億ドル（約2435億円）で、今回調達した資金は、組織を成長させるためのグローバルな主要分野への投資とリーチの拡大に充てるとのこと。

しかし究極的には今回の資金調達により、世界のパスワードレス化に貢献するという同社のミッションを加速させることになる。同スタートアップによると「本質的に安全ではない」パスワードベースの認証により、企業は毎年何百万ドル（何億円）もの損失を被っている。脆弱なパスワードはデータ漏えいの80％以上を占めるだけでなく、1つのパスワードをリセットするためのヘルプデスクの平均人件費は70ドル（約7700円）以上にもなる。

Transmitによると、同社のバイオメトリックベースのオーセンティケータは、初のネイティブにパスワードレスなアイデンティティ・リスク管理ソリューションであり、すでにLowes（ロウズ）、Santander（サンタンデール銀行）、UBS（ユービーエス AG）などの大手ブランドに採用されている。現在、毎秒9000件以上の認証リクエストを処理しているこのソリューションは、アカウントリセットを96％削減し、1分かかっていた顧客認証を2秒に短縮できるという。

2014年に同社を共同設立したTransmit SecurityのMickey Boodaei（ミッキー・ブッダエイ）CEOはこう述べている。「パスワードをなくすことで、企業は解約やカート放棄を即座に減らし、個人データに対する優れたセキュリティを提供することができます。当社のお客様は、リテール、銀行、金融、通信、自動車などの分野を問わず、最適なアイデンティティ体験を提供することが数百万ドル（数億円）規模の課題であることを理解しています。今回のプレミアパートナー各社からの資金調達により、世界からパスワードをなくすための活動範囲を大幅に拡大することができます」。

パスワードをなくすことを目指している企業は、Transmit Securityだけではない。Microsoft（マイクロソフト）はWindows 10をパスワードフリーにする計画を発表しており、Apple（アップル）も先日WWDCで、WebAuthnを利用したパスワードレス認証方法であるiCloudキーチェーン「Passkeys」、およびFace IDとTouch IDをプレビューした。

カテゴリー：セキュリティ

タグ：Transmit Security、資金調達、パスワード、パスワードレス

画像クレジット：Kaer iStock / Getty Images

［原文へ］

（文：Carly Page、翻訳：Aya Nakazato）

セキュリティーソフトClick Studiosが同社製品のデータ侵害に関するツイートを止めるよう顧客に依頼

オーストラリアのセキュリティソフトウェアハウス、Click Studios（クリック・スタジオ）は、同社が顧客に送付したデータ侵害に関するメールをSNSに投稿しないよう通知した。悪意あるハッカーが同社の看板エンタープライズパスワード管理ツールであるPasswordstateに偽のアップデートをプッシュ送信して、客のパスワードを盗めるようにした事象だ。

先週Click Studiosは、同社製のパスワードマネージャーに登録されている「パスワードをすべてリセットするよう」顧客に通知した。4月20～22日のある28時間に、ハッカーが悪意あるアップデートを顧客にプッシュ送信したためだ。悪意のアップデートは、アタッカーのサーバーにアクセスし、パワードマネージャーのコンテンツを盗んでアタッカーに送信するマルウェアを取ってくるように作られていた。

顧客向けのメールでClick Studiosは、アタッカーがどうやってパスワードマネージャーのアップデート機能に侵入したのかは言わなかったが、セキュリティ修正へのリンクは載せた。

しかし、侵害のニュースが明るみに出たのは、Click Studiosが顧客にメールを送ってから数時間後に、デンマークのサイバーセキュリティ会社、CSIS Groupが攻撃の詳細をブログに書いた後だった。

Click Studiosによると、Passwordstateは「2万9000以上の顧客」に利用されており、Fortune 500企業、政府、銀行、国防、航空宇宙をはじめとするほとんどの主要産業が含まれている。

Click Studiosは公式ウェブサイトの告知で「Click Studiosのメールをソーシャルメディアに投稿しないよう」顧客に求めている。更にメールで「悪人たちはソーシャルメディアを積極的に監視して、関連するアタックに利用できる情報を探している可能性があります」と付け加えた。

「悪人たちが侵入に関する情報を得て利用しようと、ソーシャルメディアを積極的に監視していることが予想されます。お客様においては悪人に使われる恐れのある情報をソーシャルメディアに投稿しないようお願いいたします。過去には、Click Studioのメール内容を模倣したフィッシングメールが送られるという事象が起こっています」。

侵害が発見されて以来、いくつもの告知を掲載したこと以外、会社はコメントや質問への回答を拒んでいる。

また、同社がこの侵害事象を、顧客のいる米国およびEU当局に伝えたのかどうかもわかっていないが、当地のデータ侵害通知規則は企業が侵害事象を報告することを義務づけている。EUのGDPR（一般データ保護規則）に違反した場合、企業は世界年間売上の最大4％を罰金として支払わなくてはならない。

Click StudiosのCEOであるMark Sanford（マーク・サンフォード）氏はTechCrunchの再三のコメント要求に答えていない。代わりに本誌が受け取ったのは、同社スタッフは「顧客の技術支援だけに集中しています」とするサポート部門からの定形自動メールだけだ。

TechCrunchは米国時間4月29日、サンフォード氏に再度メールを送って最新の告知に関するコメントを求めたが、返信はなかった。

カテゴリー：セキュリティ

タグ：Click Studios、Passwordstate、パスワードマネージャー、マルウェア、パスワード、ハッキング、サイバー攻撃、SNS

画像クレジット：TechCrunch

［原文へ］

（文：Zack Whittaker、翻訳：Nob Takahashi / facebook ）

アップデート機能を悪用した攻撃を受けPasswordstateが約3万の顧客に「パスワードをリセットするよう」警告

企業向けパスワードマネージャー「Passwordstate（パスワードステート）」を開発しているオーストラリアのソフトウェアハウスClick Studios（クリック・スタジオズ）は、同社のパスワードマネージャーがサイバー攻撃を受けたため、顧客に組織全体のパスワードをリセットするよう警告を出した。

Click Studiosが顧客に送信した電子メールによると、同社は攻撃者が顧客のパスワードを盗むためにパスワードマネージャーのソフトウェアアップデート機能を「侵害」したことを確認したという。

ポーランドのニュースサイト「Niebezpiecznik」が現地時間4月23日にTwitter（ツイッター）に投稿したこのメールには、悪意のあるアップデートによって4月20日から22日の28時間の間に、Passwordstateの顧客が無防備な状態になったと書かれている。この悪意のあるアップデートは、一度インストールされると、攻撃者のサーバーに接続してマルウェアを取得。このマルウェアがパスワードマネージャーの情報を盗み出し、攻撃者に送り返すという仕組みだ。メールでは「Passwordstateに含まれるすべてのパスワードのリセットを開始する」ように顧客に伝えている。

Manager haseł PasswordState został zhackowany a komputery klientów zainfekowane.

Producent informuje ofiary e-mailem.

Ten manager haseł jest "korporacyjny", więc problem będzie dotyczyć przede wszystkim firm… Auć!

(Informacja od Tajemniczego Pedro) pic.twitter.com/PGHhmEKpje

— Niebezpiecznik (@niebezpiecznik) April 23, 2021

パスワードマネージャー「PasswordState」がハッキングされ、顧客のパソコンが感染した。

メーカーは被害者にメールで通知している。

このパスワードマネージャーは「企業向け」なので、この問題は主に企業に影響を与える…これは痛い！

(情報元：謎めいたペドロ)

Click Studiosは、攻撃者がどのようにしてパスワードマネージャーのアップデート機能を侵害したかについては明らかにしていないが、顧客にはセキュリティ修正プログラムをメールで送信している。

同社によると、攻撃者のサーバーは4月22日に遮断されたという。しかし、攻撃者がシステムを再びオンラインにすれば、Passwordstateのユーザーは依然として危険にさらされる可能性がある。

企業向けパスワードマネージャーは、それを使用する企業の従業員たちが、ファイアウォールやVPNを含むネットワーク機器、共有の電子メールアカウント、内部データベース、ソーシャルメディアアカウントなどのパスワードやその他の機密情報を、組織全体で共有できるようにするものだ。Click Studiosの主張によると、Passwordstateはフォーチュン500企業、政府機関、銀行、防衛・航空宇宙そしてほとんどの主要産業を含む「2万9000以上の顧客」に使用されているという。

被害に遭った顧客には、米国時間4月23日早朝に通知が届いたが、この侵害のニュースが広く知られるようになったのはその数時間後、デンマークのサイバーセキュリティ企業であるCSIS Group（CSISグループ）が攻撃の詳細をブログに掲載してからだ。

Click Studiosの最高経営責任者であるMark Sanford（マーク・サンフォード）氏は、オーストラリアの営業時間外に行われたコメントの要請に応じなかった。

カテゴリー：セキュリティ

タグ：Click Studios、Passwordstate、パスワードマネージャー、マルウェア、パスワード、ハッキング、サイバー攻撃

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Zack Whittaker、翻訳：Hirokazu Kusakabe）

「ゼロトラストモデル」のおかげでスタートアップ企業もパスワードレスに

「時が経てば、人々がパスワードに頼らなくなることは間違いありません【略】パスワードは、本当に安全性を確保したい場合の課題を満たしていません」と、Bill Gates（ビル・ゲイツ）氏は言った。

今から17年前のことだ。パスワードはいくらか魅力を失ったものの、これまで何度も死滅の危機を乗り越えてきた。

高額な費用と厄介な実行という認識から、一部の中小企業はパスワードの廃止に踏み切れないでいる。しかし、パスワードに代わるものは、手頃な価格で簡単に導入でき、より安全であることが、Extra Crunchが収集した業界の洞察で明らかになった。ゼロトラストのシステムに移行することが、それを促進させる要因となる。

まずは基本的ことから説明しよう。ゼロトラストは「どこにいるか」ではなく「誰であるか」に焦点を当てたものだ。ゼロトラストモデルでは、企業はネットワークにアクセスしようとする試みを決して信用せず、ネットワーク内部からのログインであっても、毎回検証することが求められる。パスワードレス技術は、ゼロトラストモデルの重要な要素である。

パスワードに代わるものには、以下のような方法がある。

生体認証：スマートフォンの指紋リーダーや建物の物理的な認証ポイントとして広く利用されている
ソーシャルメディア認証：Google（グーグル）やFacebook（フェイスブック）のIDを利用して、第三者のサービスで本人を認証する方法
多要素認証：信頼できるデバイスを使用したトークン認証など、デバイスやサービスを使用してより多くの認証レイヤーを追加したもの
グリッド認証カード：組み合わせたPINを使用してアクセスを提供する
プッシュ通知：通常、ユーザーのスマートフォンや暗号化されたデバイスに送信される
デジタル証明書：マシンやデバイスにローカルに保存されている暗号ファイル

フィンランド発のフードデリバリーサービス「Wolt（ウォルト）」は、パスワードレス化の一例だ。

「ユーザーは、メールアドレスまたは電話番号を入力して登録します。アプリへのログインは、ユーザーの受信箱にある一時的なリンクをクリックすることで行われます。ユーザーの携帯電話内のアプリは認証Cookie（クッキー）を設置し、これによってユーザーはさらなる認証を受けることなく、そのデバイスから続行することができます」と、F-Secure（エフセキュア）のCISO（最高情報セキュリティ責任者）であるErka Koivunen（エルカ・コンヴネン）氏は述べている。

この場合、サービス提供者は認証を完全にコントロールすることができ、有効期限の設定、サービスの取り消し、不正行為の検出が可能になる。サービス提供者は、ユーザーがパスワードを管理するという約束を当てにする必要がない。

パスワードレス技術は、本質的にコストが高くなるわけではないが、調整が必要な場合もあると、マネージドサービスプロバイダのDatto（ダット）でCISOを務めるRyan Weeks（ライアン・ウィークス）氏は説明する。

「多要素認証には、簡単にアクセスできて投資を必要としないオープンソースの代替手段がたくさんあるので、金銭的な出資という意味では、必ずしもコストが高いわけではありません」と、ウィークス氏はいう。しかし、パスワードレス技術が、従業員の生産性に摩擦を与えるのではないかと懸念する企業もある。

コンヴネン氏はまた、ゼロトラストモデルはスタートアップ企業が手を出せるものではないという説を否定する。

「ゼロトラストは、ユーザーに秘密にしておくべきものを提示して認証を強いることの無意味さを認識し、その代わりに、コンテクストアウェアを考慮した方法でユーザーのアイデンティティを確立することが望まれます」と、同氏はいう。

ゼロトラストは、ユーザーを認証するだけでない。ユーザーとそのデバイスも含む。

「ゼロトラストの観点には、信頼発生の継続的な認証または再検証という考え方があります。それゆえに、ゼロトラストモデルにおけるパスワードレスは、ユーザーにとってより簡単で、より安全になる可能性があります。『あなたが何を持っているか』と『あなたが何者であるか』という要素を組み合わせることで、より攻撃が難しくなるからです」と、Dattoのウィークス氏は述べている。

Microsoft（マイクロソフト）やGoogle（グーグル）などの大企業は、すでにゼロトラスト技術を提供している。しかし、投資家は、成長中の企業向けにゼロトラストを提供する中小企業にも注目している。

遠隔地にいる従業員が会社のネットワークにアクセスできるようにするためのゼロトラストを提供するAxis Security（アクシス・セキュリティ）は、2020年3200万ドル（約35億2000万円）を調達した。Beyond Identity（ビヨンド・アイデンティティ）は、2020年12月に7500万ドル（約82億5000万円）の資金を調達。また、イスラエルのID検証スタートアップであるIdentiq（アイデンティク）は、2021年3月にシリーズAラウンドで4700万ドル（約51億7000万円）を調達している。

カテゴリー：セキュリティ

タグ：パスワード、個人認証、ゼロトラストモデル

画像クレジット：Mary Ne / Getty Images

［原文へ］

（文：Chandu Gopalakrishnan、翻訳：Hirokazu Kusakabe）