Google、パスワードの使い回しを制限するためのChrome拡張機能をオープンソースで提供開始

phishing_caught

Googleが新しいChrome拡張機能をリリースした。Googleサイトで利用しているパスワードを、他のサイトで再利用しないように注意を喚起するためのエクステンションだ。パスワードアラート(Password Alert)という名前で、Chromeウェブストアにて入手することができる。この拡張機能をインストールしておくと、Googleサービスで利用しているパスワードを他サイトで使用しようとすると、警告が表示されるようになる。

GoogleのGoogle Apps for Workチームでセキュリティ部門のディレクターを務めるEran Feigenbaum曰く、Google社内でもこれと似たツールを数年にわたって利用してきているのだそうだ。

主な目的は、フィッシング被害を防ぐことにある。Feigenbaumによれば、Googleの社員ですらGoogleのログインページを偽装するフィッシングサイトに騙されてしまうことがあるのだそうだ。

gyb_pw_alert_blog

但し、このツールが役立つのはフィッシング詐欺に対する場面のみではなさそうだ。多くの利用者がさまざまなサービスで同じパスワードを使いまわしている中(もちろん、TechCrunch読者はそのようなことはしていないはずだが…)、悪意のハッカーは、なんらかの方法でひとつのパスワードを盗み取ればあらゆる情報にアクセスできるような状況にもなっている。

2段階認証も、そうした状況にストップをかけるのには有効な方法だ。GoogleのSecurity Keyを使うのも良い方法だろう。しかし、セキュリティについていろいろと考えている利用者以外にも、パスワードの使い回しをストップさせるという面で、このパスワードアラートも有効に機能するはずだ。

Feigenbaumの話によると、Google for Workではこのツールを使って、利用者のそれぞれにパスワードアラートの機能を提供することもできるのだとのこと。Google for Workのメンバーが、Google for Workのサイト以外で同じパスワードを使えば、アラートが表示されるようになる。

もちろん、パスワードアラートを使うのに、Google Apps for Workを使っている必要はない。多くの人が日常で利用しているであろうGoogleアカウントにて、正しく機能するようになっている(複数のGoogleアカウントを使い分けているような場合は、少々めんどうなことになるようではある)。

このパスワードアラートはオープンソースで提供され、他のブラウザ用のプラグインを開発することも可能となっている。

原文へ

(翻訳:Maeda, H

Appleの2要素認証は、iCloudバックアップとフォストスリームを保護していない

今回のセレブ写真流出問題に関連してよく言われるアドバイスは、2要素認証の利用だ。これは良いアドバイスだが、それでもかのセレブたちは保護されなかっただろうし、Apple IDのメールアドレスとパスワードを盗むことに成功したハッカーに侵入された他のアカウントも保護されない。

Appleはかなり前から2要素認証を提供しているが、ハッカーらが悪用したシステムに関して欠落がある。iCloudバックアップは2要素認証で保護されておらず、Apple IDとパスワード〈だけ〉で新しいデバイスにインストールすることが可能だ。

もちろんこれは非常に大きな〈だけ〉ではある。メールアドレスとパスワードは、地球上のほぼ全サービスが標準提供している保護手段だ ― そしてひとたびハッカーがそれを手に入れれば、間違いなく困ったことになる。初期の証拠およびAppleの本件に関する声明によると、ハッカーは「秘密の質問」の予想、ソーシャルエンジニアリング、フィッシング、その他の「ターゲットされた」アタックによってパスワードを盗んでいる ― パスワードデータそのものがAppleから漏れたのではない。中でも、iPhoneのバックアップへのアクセスは、認証トークン(iTunesによって作られたファイル)によって行われ、マルウェアやフィッシングによって入手可能だ ― そのためにパスワードは不要。

しかし2要素認証は、Appleおよび多くのセキュリティー専門家によって単純なパスワード盗難からユーザーを保護する手段として薦められている。物理デバイスに送られてくるコードの入力を要求することによって、そのAppleアカウントにログインしているのが本人であることを確認する。

ところが、Appleの2要素認証は完全なものではない。多くのiCloudサービス、特にバックアップはカバーされていない。

実際、iCkoudで2要素認証が保護しているのは以下の3つのケースだけだ。

  • Appleアカウントを管理するために自分のApple IDにサインインする
  • 新しいデバイスから、iTunes、App Store、またはiBookstore で購入する
  • Appleから、Apple IDに関連するサービスを受ける

iCloudバックアップから新しいデバイスを復元する際には認証コードを要求されない。そしてそれは、ハッカーらが今回利用した「仕様」である。

ひとたびAppleアカウントのアクセスが可能になれば、ログインとパスワードを使い、ElcomsoftのPhone Password Breakerというアプリを利用して、iCloudバックアップを「復元(restore)」できる ― 写真その他のデータはエクスポートしてから選り分けられる。

ハッカーは実際にバックアップ全体をダウンロードしなくても ― あるいはそのアカウントにバックアップがなくても ― この時点でユーザーのフォトストリームにアクセスすることができる。これも2要素認証で保護されていない。

このため、写真を盗まれた人々がもし2要素認証を有効にしていたとしても、iCloudバックアップとフォストトリームはアクセス可能だった。

もしあなたがこれを、新たな脆弱性でAppleにとっても初めてのこと ― この抜け道に気付いていなかった ― だと思ったなら、それは間違いだ。AppleのiCloudバックアップが2要素認証で保護されていないという事実は1年以上前から知られている。

セキュリティー研究者のVladimir Katalov(Elcomsoftで働いている。なんと!)は、iCloudプロトコルに関する彼の発見を、iCloudのどの部分が2要素認証で守られていることを含め、昨年のHack In The Boxセキュリティーカンファレンスで発表している ― そして昨年5月にはすでにこの問題について記事を書いている。他にも、Ars TechnicaZDnet、そして今日またTUAWが報じている。

Appleが今すぐやるべき最善の策は、2要素認証をiCloudの全サービスに拡大することだ ― アカウントのリセットや新規デバイスからの購入だけでなく。復元あるいは新しいデバイスや場所からのログインに対して、別の形の認証を求めることは次の望ましいステップだ。Appleが2要素認証の範囲を拡大するという〈噂〉があることは注目に値するが、まだ実現していない。

ユーザーの立場では、あらゆる一般的アドバイスが依然として有効だ。パスワードは複雑に、他人と共有しない、IDにはプライベートなメールアドレス ― これも他人と共有しない ― を使う。メールに書かれたURLは可能な限りクリックしない。パスワードリセットの質問には、完全に間違ったあるいはランダムな答を使用する。

まだ2要素認証を使っていないユーザーは、使うことによって確実にセキュリティーのレベルが上がる ― ただし現時点ではパスワードを盗まれるとバックアップは保護されない。今回のハッキング事件に関する声明でAppleは、2要素認証によるアカウントセキュリティーの強化を推奨している。

Appleは、2要素認証拡大に関する情報提供の要求に対して、回答していない。

[原文へ]

(翻訳:Nob Takahashi / facebook


Google Authenticator For iOSのアップデートをダウンロード/インストールすると保存されているアカウントをすべて失う

【抄訳】(速報)

Googleは今日(米国時間9/3)、Google Authenticator for iOSをアップデートした。二要素認証のサポートアプリで、それを使ってGoogleのサービスにログインすると、あなたのアカウントはよりセキュアになる。でも今回のアップデートは、避けた方がよい。本誌の複数の情報筋によると、保存されているデータと接続用アカウントのすべてが消されてしまう。本誌への報告者の一人は、Dropbox、Google Apps、DreamHost、Twilio、Evernoteなどなどのアカウントをすべて失った。

Authenticatorアプリは、パスワードと併用するランダムな数を生成する。この数値符号は、一定時間後に無効になる。パスワードを盗んだ人でも、その場かぎりそのときかぎりの数値符号はまず盗めないから、セキュリティが強化される。

【中略】

アップデート: アプリはApp Storeから削除された。Googleは今、問題解決に取り組んでいるようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))