Googleは、同社のエンタープライズ顧客の一部システムで、誤ってパスワードが平文で保存されていたことを発表した。
検索の巨人は米国時間5月21日にこの問題を公表したが、正確にどれだけの顧客が影響を受けたのかは語らなかった。「当社のG Suite利用者の一部に対して、パスワードの一部が社内の暗号化システムにハッシュされずに保存されていたことを通知した」とGoogleのエンジニアリング担当副社長Suzanne Frey氏はコメントした。
通常パスワードはハッシュアルゴリズムを利用して暗号化され、人間が読めないようになっている。G Suiteの管理者は、社員ユーザーの新パスワードを手動でアップロード、設定、リカバーすることができる。これは新しい社員が加わったときに利用する機能だ。しかしGoogleは今年4月、2005年に実装したパスワード設定、リカバリーの仕組みに誤りがあり、パスワードを平文で保存していたことを発見した。その後Googleは同機能を削除した。
今回のセキュリティー障害によって消費者向けGmailアカウントが影響を受けることはない、とFrey氏はコメントしている。「なお、問題のパスワードは当社の暗号化されたセキュアシステム基盤内に保存されていた」とFreyは言った。「問題は既に修正されており、該当するパスワードが不正利用された形跡はない」。現在Googleには500万人以上のG Suiteユーザーがいる。
Googleはまた、今月G Suiteの新規ユーザー登録でトラブルシューティングを行っていた際、第2のセキュリティー欠陥を見つけたことも発表した。Googleによると、1月以降にG Suiteのハッシュされていないパスワードの「一部」が内部システムに最大2週間保存されていた。このシステムをアクセスできたのは、一部の権限を持つGoogleスタッフのみであったとGoogleは公表した。
「この問題は修正済みであり、ここでも対象となるパスワードの不正アクセス、不正利用の形跡はなかった」とFrey氏は述べている。Googleは、G Suite管理者にパスワード障害について警告済みであり、パスワードを変更していないアカウントのパスワードは近くリセットすると表明している。
広報担当者は、Googleが今回の問題をデータ保護当局に報告したことを正式に認めた。
この一年間に秘密データを平文で保存したことを認めた会社としてはGoogleが最新になる。Facebookは3月に、FacebookおよびInstagramのパスワード「数億件」を平文で保存していたことを公表した。TwitterとGitHubも同様のセキュリティー問題があったことを昨年認めている。
関連記事:
- 5.4億件のFacebookデータがサードパーティーのサーバーに公開で保存されていた
- Facebookがパスワードが漏れたInstagramユーザー数を「数百万人」に訂正
- ホットスポット検索アプリが200万件以上のWi-Fiパスワードを流出させた
- 今すぐTwitterのパスワードを変えよう
- 位置情報アプリ「Family Locator」からリアルタイムで情報が流出していた
[原文へ]
(翻訳:Nob Takahashi / facebook )
