――筆者のニコール・ウェンはWSJパーソナルテクノロジー担当コラム二スト
ランサムウエア(身代金要求型ウイルス)を使用した攻撃が増加しており、その一部で流出したパスワードが利用されている。今こそ個人的なセキュリティー慣行を見直すべきときだ。
まず何よりも重要なのが、パスワードの作成と保存方法だ。
パスワード管理ソフトウエアに関する記事、恐らく筆者がこの件について以前書いたコラムを読んだことがある人もいるだろう。
このソフトは、強力な無作為のパスワードを生成してユーザーの代わりに記憶し、認証情報を自動入力してログインプロセスを簡素化してくれるものだ。オンラインの安全を確保するには、固有のパスワードの作成が不可欠だ。米ベライゾンが5月に公表したリポートによると、2020年に発生したセキュリティー侵害の約25%で、盗まれたユーザー名やパスワードが利用されていた。
このコラムでは、以下の主要な2種類のパスワード管理ソフトを比較する。
・ウェブブラウザーやモバイル向け基本ソフト(OS)に組み込まれた無償の管理ソフト。アップルの「iCloud Keychain(アイクラウド・キーチェーン)」やグーグルの「パスワードマネージャー」、ファイアーフォックスの「Lockwise(ロックワイズ)」など。
・複数のプラットフォームで機能するサードパーティーの単体アプリ。「Dashlane(ダッシュレーン)」や「1Password(ワンパスワード)」、「LastPass(ラストパス)」など。
これら製品の使い勝手やセキュリティー、利用しやすさは、それぞれ異なる。例えば、ファイアーフォックスのロックワイズにはアンドロイド端末とiOS端末双方で利用可能なモバイルアプリがある一方、グーグルのパスワードマネージャーがサポートしているのはアンドロイド向けモバイルアプリだけで、iOSアプリはサポートしていない。また、ワンパスワードは保護を強化するため、マスターパスワードと複数要素認証に加え、新しい端末の認証やウェブのログインには64文字の「秘密鍵」を要求している。
グーグルで脆弱(ぜいじゃく)性の調査を担当しているテービス・オーマンディ氏は6月、サードパーティーのパスワード管理ソフトに対する異論をネットに投稿し、ブラウザー内蔵の管理ソフト(グーグルがブラウザー「クローム」の利用者向けに提供している「パスワードマネージャー」など)が一番だと結論付けた。これは筆者にとって驚きだった。筆者が数年にわたり話を聞いてきたセキュリティー専門家のほとんどが、複数のデバイスやOSで利用できることを理由にサードパーティーの管理ソフトを薦めていたからだ。
問題は、多くの単体の管理ソフトがパスワードなどのデータの自動入力にブラウザー向け拡張機能を利用しており、そうした拡張機能はだまされる可能性があることだ。オーマンディ氏は投稿でこう指摘した。極端なケースでは、悪意のあるウェブサイトで無関連のサイトから認証情報を盗み、表示させることができてしまう。ウィンドウズに搭載されているパスワード管理ソフト「Keeper(キーパー)」のブラウザー向け拡張機能で2017年に見つかった欠陥は、このケースだった(キーパーは24時間以内に修正パッチを提供した)。
オーマンディ氏は2017年にラストパスにも、アカウント情報が取得されかねない悪用可能な脆弱性を発見した。ラストパスは後日、その問題を修正した。ラストパスは2019年にも、最後に入力した認証情報を漏えいさせかねない別の欠陥を修正している。ラストパスの親会社ログミーインはコメントを差し控えた。オーマンディ氏に何度もコメントを求めたが、回答は得られなかった。
ワンパスワードのセキュリティーエンジニア、リック・バン・ゲーレン氏は「オーマンディ氏は技術レベルでいくつかの素晴らしい指摘をしている。その一部はワンパスワードに当てはまる」とし、「全てのプラットフォームで秘密データをアクセス可能にすることは、セキュリティーの観点から危険な可能性がある。それはわれわれも認識している。安全な方法でそれを実施するためにわれわれは懸命に取り組んでいる」と述べた。
ワンパスワードは2016年に、オーマンディ氏が発見したウィンドウズパソコンに影響する欠陥を修正している。同社のセキュリティー担当ディレクター、ジェフリー・ゴールドバーグ氏は、ブラウザーとOSは現在、拡張機能がより安全にログインフィールドを入力できるよう修正されており、悪意のあるウェブサイトにパスワード管理ソフトがだまされにくくなっていると述べた。
ダッシュレーンのフレデリック・リベイン最高技術責任者(CTO)は、オーマンディ氏の投稿に対する回答を公表し、「誰も確実にリスクをゼロにすることはできない。われわれの観点から重要なのは、業界の最良事例を利用してリスクを最小化することだ」と述べた。また、同社では既にオーマンディ氏が挙げた問題の一部に対処したと説明したが、具体的にどの問題に対処したかは言及しなかった。
パスワード管理ソフトの拡張機能はブラウザーによっても機能の仕方が異なる。米カリフォルニア大学バークレー校情報学大学院でセキュリティーに関する講師を務めるスチュワート・シェクター氏によると、アップルはサードパーティーのパスワード管理ソフトがiOS端末やMac(マック)で安全に認証情報を送信できる安全なスペースを提供している。このフレームワーク内ではウェブサイトが拡張機能に干渉することはできない。グーグルのブラウザー「クローム」は、同様の保護措置は講じていないとシェクター氏は述べた。
「われわれは常に拡張機能の開発元と協力し、ユーザーのセキュリティーを向上するとともに、開発元にとって有効なソリューションを開発することを目指している」とグーグルの広報担当者は述べた。
シェクター氏はオーマンディ氏のお薦め通り、ブラウザー内蔵のパスワード管理ソフトを使用しているとしつつも、ブラウザー内蔵のパスワード管理システムでさえも完璧ではないと述べた。
「クロームユーザーであれば、クロームのパスワードマネージャーを使用することにもリスクがある。パスワードの安全性と利用可能性は、グーグルのアカウントの安全性と利用可能性に依存しているためだ」とシェクター氏は述べた。
ウェブブラウザー内蔵のパスワード管理ソフトの利点の一つは、無償で使いやすいことだ。ただし、例えばグーグルのソフトの場合、クロームブラウザーとアンドロイド端末でしか使用できない
Photo: Nicole Nguyen/The Wall Street Journalまた、ウェブブラウザー内蔵の管理ソフトは、さまざまなタイプのログインデータを全て保存できないことが多い。今日ではユーザー名やパスワードだけでなく、アプリ内のPINコードやセキュリティー質問に対する答えなどが必要だ。
「ブラウザーのパスワード管理ソフトは、パスワード管理ソフトを全く使用しないよりは好ましいが、世の中のオンライン化に伴って手に負えないほど増えている、認証情報や秘密データを管理できるほど強固ではない」。セキュリティーコンサルタントでブロックチェーン(分散型台帳技術)ソフトウエア会社テンダーミントの元セキュリティー責任者であるジェシー・アーウィン氏はこう話す。
同氏は、サードパーティーのパスワード管理ソフトの方が優れているとしている。
では、どうすればいいのか。どのパスワード管理ソフトも同じパスワードを何度も使い回すよりはいいものの、そのセキュリティーは、使用しているプラットフォームをはじめ、さまざまな要因に左右される。そこで、以下に各管理ソフトの利点と欠点を挙げる。これを参考に、自分の生活に最も適した手段を選ぶといいだろう。
ブラウザー内蔵パスワード管理ソフト
<利点>
全てのプラットフォームで同じブラウザーを使用しているのであれば、ブラウザー内蔵のソフトが有効だ。特定のエコシステム(グーグルやアップルなど)から出ないのであれば、内蔵の管理ソフトでニーズを満たせる可能性がある。例えば、パソコンとスマートフォンでクロームを使用していれば、グーグルに保存したパスワードにどのウェブページや(アンドロイドを使用している場合は)どのモバイルアプリからもアクセス可能だ。アップルのiCloudキーチェーンは、アップルのエコシステム内であればシームレスに機能する。ウィンドウズパソコンのクロームブラウザー向け拡張機能「iCloudパスワード」を使用すれば、エコシステムの外でさえも利用可能だ。ただし、アンドロイド端末はサポートしていない。
ブラウザー内蔵のソフトは使いやすい上に無料だ。ダウンロードする必要も、定額料金を支払う必要もない。子供やコンピューターにあまり詳しくない家族のメンバーにとっては、パスワードの安全を向上させる最適な選択肢かもしれない。
<欠点>
他の人とパスワードを容易に共有できない。グーグルのパスワードマネージャーには共有機能がなく、アップルのiCloudキーチェーンでは「AriDrop(エアドロップ)」機能を使用して、「連絡先」に登録された、近くにいる人と共有することしかできない。
iCloudキーチェーンは、iOSとMac向けのパスワードシステム。アップルは、ウィンドウズパソコンのクロームブラウザーでも使用可能な「iCloudパスワード」を提供している
Photo: Nicole Nguyen/The Wall Street JournaliCloudキーチェーンは他のパスワード管理ソフトに切り替えるのが難しい。グーグルはパスワードを比較的簡単にエクスポートできるようにしているが、アップルはそのようなオプションを提供していない。
クロームでは、デバイスにアクセスできれば、パスワードにもアクセスできてしまう。グーグルのパスワードマネージャーは「ロック」できず、認証情報の自動入力に固有のマスターパスワードも必要としない。ただし、パスワードをプレーンテキストで表示するには、コンピューターのパスワードを入力する必要がある。したがって、パソコンやモバイル端末のパスワードを推測されにくいものにしておくべきだ(アップルのiCloudキーチェーンでは、パスワードを自動入力する前に認証を求められる)。
グーグルのクロームでは、ブラウザー向け拡張機能によってログインフィールドの横にアイコンが表示される(写真はダッシュレーンの「D」が表示されている)ため、保存されたパスワードがあることが分かる
Photo: Nicole Nguyen/The Wall Street Journalサードパーティーのパスワード管理ソフト
<利点>
多くのさまざまなプラットフォームと互換性がある。ほとんどのサードパーティーのアプリケーション――中でも優れているのがワンパスワード、ダッシュレーン、ラストパス――は、多様なデバイスやOSに対応している。ウェブアプリからスマートウオッチに至るまで、ほぼ全てのプラットフォームからパスワードにアクセスできる。
さまざまな種類の秘密データも保存可能だ。多くのサービスが、PINなどのログイン情報に加え、クレジットカード番号や住所などのデータを保護する安全な暗号化されたメモを提供している。さらに細かいセキュリティー設定もある。例えば、一定の期間がたつと自動的にアプリケーションからログアウトしたり、クリップボードの情報を消去したりするよう設定できる。
<欠点>
マスターパスワードを覚えておく必要がある。この長い文字列は基本的にあなたの「オンライン王国」への鍵を握っており、安全なシステムでは、マスターパスワードを忘れたら、それを容易に回復する手段は用意されていない(ダッシュレーンは、緊急時に本人に代わってアカウントを回復できる連絡相手を設定できるようにしている)。大半の管理ソフトは2要素認証による追加の保護措置に加え、新しいデバイスや場所からログインする際には、さらに認証を必要とする。
機能を全面的に利用するには料金を支払う必要がある。「Bitwarden(ビットワーデン)」を除く大半のサービスでは、複数の端末で管理ソフトを使用するには定額料金の支払いが必要だ。ワンパスワードは無料プランを一切提供していない。定額サービスが増えすぎて手に負えなくなってきているのは確かだ。しかし、パスワードのように非常に重要なものについては、恐らくお金を払ってデジタルな秘密を守る手助けをしてもらう価値はあるだろう。
あわせて読みたい
Copyright ©2020 Dow Jones & Company, Inc. All Rights Reserved. 87990cbe856818d5eddac44c7b1cdeb8
からの記事と詳細 ( パスワード管理ソフト、ブラウザー内蔵VS単体品 - Wall Street Journal )
https://ift.tt/3BzhHO7
No comments:
Post a Comment