パスワードを1つだけ覚えればいい「パスワードマネジャー」は安全じゃない?:パスワード管理ツールは使うべき?【前編】
パスワードを効率的に管理することを目的にしたパスワード管理ツールの利用が広がっている。ただしパスワード管理ツールにリスクがあることには注意が要る。実際に発生した攻撃事例を踏まえて解説する。
業務用アプリケーションの利用が増えるほど、管理しなければならないパスワードも多くなる。多数のパスワードは管理が大変になるだけではなく、流出して攻撃に悪用される事態を招きかねない。パスワードにまつわるトラブルを防ぐために有効なのが、パスワードマネジャー(パスワード管理ツール)の利用だ。ただしパスワードマネジャーにはパスワード管理を効率的にできる利点がある半面、注意が必要なリスクもある。
「パスワードマネジャー」は実は安全じゃない? 過去には攻撃事例も
併せて読みたいお薦め記事
パスワード管理の重要性と注意点
パスワードマネジャーの利点は、複数のパスワードを1つのツールにまとめられることにある。ユーザーは複数のパスワードを覚える必要がなくなり、アプリケーションを利用する際の負荷軽減につながる。
パスワード流出のリスクを減らせる利点もある。その一方で、単一のパスワードが攻撃者の手に渡れば、広範囲での侵害が可能になることがパスワードマネジャーの大きな欠点だ。
組織はパスワードマネジャーの導入を検討するとき、メリットとリスクをてんびんにかけて自社にとって最適な判断をしなければならない。実際、パスワードマネジャーの脆弱(ぜいじゃく)な点を悪用した攻撃事例がある。過去の攻撃事例を見てみよう。
LastPass
2022年8月、パスワード管理ツールベンダーLastPassのシステムに不正アクセスがあり、同社製品の一部のソースコードが盗まれた。同年12月には、同社の顧客データを狙った攻撃もあった。顧客データには、ユーザー企業が設定したパスワード情報が含まれていたという。LastPassは2023年3月、この2つの攻撃が実際にあったことを認めた。不正アクセスに悪用されたのは、同社が使っているIT製品の脆弱性だった。
Gen Digital
2023年1月、セキュリティベンダーGen Digital(旧NortonLifeLock)は同社パスワード管理ツール「Norton Password Manager」のユーザー組織に対し、同製品を狙ったクレデンシャルスタッフィング攻撃について注意を呼び掛けた。クレデンシャルスタッフィング攻撃とは、流出したログイン情報を使ってアプリケーションへの自動ログインを試みる手口だ。
Okta
2024年11月、IDおよびアクセス管理(IAM)ツールベンダーOktaは同社パスワード管理ツールの脆弱性情報を公開した。特定の条件でユーザー名が52文字を越えるとパスワード認証を回避できるという。この脆弱性は2024年7月から存在していたが、既に修正済みだとOktaは説明する。
後編は、本稿で紹介したリスクを踏まえ、パスワード管理ツールを使うべきかどうかを考える。
TechTarget発 世界のインサイト&ベストプラクティス
米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.