14年間もパスワードを平文で保存していた事案もG Suiteで判明した2つの「パスワード平文保存」問題 何が起きたのか？

Googleは「G Suite」のパスワードを安全でない状態で保存していた2件の事案を公表した。そのうちの1件では、パスワードを暗号化しない状態で14年間も保存していたという。

[Michael Heller，TechTarget]

　Googleは「G Suite」のパスワードを可読状態で保存していた2件の事案（いずれも対処済み）について、法人ユーザーに通知した。

　G Suiteは、Googleが法人向けに提供しているオフィススイートであり、Microsoftの「Office 365」と競合するサービスだ。Googleによると、1件目の問題は2005年に実装したドメイン管理者用ツールのバグによるもので、従業員のパスワードを手動で設定できるようにする機能に誤りがあったという。

併せて読みたいお薦め記事

「G Suite」についてもっと詳しく

• J・フロントリテイリングが「G Suite」を1万人規模で利用　社内普及の方法とは
• 帝国ホテルは「G Suite」を社内にどう定着させたか
• ExcelやWordファイルを無変換で編集可能に　「G Suite」の最新機能まとめ

「パスワード認証」限界論と代替策

• 10億台のAndroid端末が「パスワードのない世界」へ　FIDO2取得でログインはどうなる？
• パスワードはなくなるのか　2要素認証に熱視線を送るIT担当者たち

　Googleのクラウド信頼性エンジニアリング担当バイスプレジデントのスザンヌ・フレイ氏は、同社公式ブログで次のように説明した（以下は公式ブログの日本語版からの抜粋）。

　2005年にこの機能を実装した際に、管理コンソールがハッシュ化されていないパスワードのコピーを保存してしまうというエラーが発生しました。このような運用はGoogleの基準には適合するものではありません。これらのハッシュ化されていないパスワードは、Googleの暗号化されたセキュアなインフラストラクチャー内に保管されていました。現在、この問題についてはすでに修正を完了しており、該当するパスワードへの不正アクセスや誤用の形跡は認められていません。

　Googleの説明によると、ハッシュ化していないパスワードへのアクセスは権限のあるユーザーのみに限定されており、影響を受けたのはごく一部の法人ユーザーのみだという。

もう一つのパスワード平文保存事案

　この件とは別に、2019年1月からG Suiteのパスワードを可読状態で保存していた、もう一つの事案も明らかになった。