パスワードを効率的に管理することを目的にしたパスワード管理ツールの利用が広がっている。ただしパスワード管理ツールにリスクがあることには注意が要る。実際に発生した攻撃事例を踏まえて解説する。
業務用アプリケーションの利用が増えるほど、管理しなければならないパスワードも多くなる。多数のパスワードは管理が大変になるだけではなく、流出して攻撃に悪用される事態を招きかねない。パスワードにまつわるトラブルを防ぐために有効なのが、パスワードマネジャー(パスワード管理ツール)の利用だ。ただしパスワードマネジャーにはパスワード管理を効率的にできる利点がある半面、注意が必要なリスクもある。
パスワードマネジャーの利点は、複数のパスワードを1つのツールにまとめられることにある。ユーザーは複数のパスワードを覚える必要がなくなり、アプリケーションを利用する際の負荷軽減につながる。
パスワード流出のリスクを減らせる利点もある。その一方で、単一のパスワードが攻撃者の手に渡れば、広範囲での侵害が可能になることがパスワードマネジャーの大きな欠点だ。
組織はパスワードマネジャーの導入を検討するとき、メリットとリスクをてんびんにかけて自社にとって最適な判断をしなければならない。実際、パスワードマネジャーの脆弱(ぜいじゃく)な点を悪用した攻撃事例がある。過去の攻撃事例を見てみよう。
2022年8月、パスワード管理ツールベンダーLastPassのシステムに不正アクセスがあり、同社製品の一部のソースコードが盗まれた。同年12月には、同社の顧客データを狙った攻撃もあった。顧客データには、ユーザー企業が設定したパスワード情報が含まれていたという。LastPassは2023年3月、この2つの攻撃が実際にあったことを認めた。不正アクセスに悪用されたのは、同社が使っているIT製品の脆弱性だった。
2023年1月、セキュリティベンダーGen Digital(旧NortonLifeLock)は同社パスワード管理ツール「Norton Password Manager」のユーザー組織に対し、同製品を狙ったクレデンシャルスタッフィング攻撃について注意を呼び掛けた。クレデンシャルスタッフィング攻撃とは、流出したログイン情報を使ってアプリケーションへの自動ログインを試みる手口だ。
2024年11月、IDおよびアクセス管理(IAM)ツールベンダーOktaは同社パスワード管理ツールの脆弱性情報を公開した。特定の条件でユーザー名が52文字を越えるとパスワード認証を回避できるという。この脆弱性は2024年7月から存在していたが、既に修正済みだとOktaは説明する。
後編は、本稿で紹介したリスクを踏まえ、パスワード管理ツールを使うべきかどうかを考える。
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
