パスワードという超個人情報が関わるだけに、早急に対処を。
パスワード管理アプリ1Passwordが、ユーザーデータを保存するフォーマットに変更を加え、暗号化されていないメタデータを減らすことを発表しました。
ことの発端は週末、マクロソフトのソフトウェアエンジニアのDale Myers氏が1Passwordの脆弱性を指摘する内容のブログを投稿。その内容とは、1Password のAgileKeychainのデータフォーマットには重要なメタデータが暗号化されないまま残されているというもの。
それを受けた1Passwordが主張するには、それはすでに認識された問題だったそうです。しかし、ユーザーがログインし、頻繁に使用しているサービスのサイトのURLはオープンな状態のまま残していました。Dale Myers氏はこの手のデータは、ユーザーがどのウェブサイトを使用しているか、どのソフトウェアのライセンスを取得しているか、そしてどこに銀行の口座を持っているかまで特定するのに悪用される可能性があると指摘しています。
一方で1Passwordの主張は、パスワードのデータは依然として安全を保たれているというもの。そして今回、自身のOPVaultデータフォーマットを公開することを決定しました。このフォーマットにより、より多くのメタデータが暗号化されるようになるとのことです。実際のところ、このOPVaultフォーマットは2012年からすでにいくつかのプラットフォームで使用されていましたが、過去の互換性の懸念から広く公開されることは避けられていました。しかし今、その方針を曲げるときが来たようです。1Passwordは「Dale Myers氏は我々に今まさに動き出すときが来たのだと教えてくれました。」と話しています。
そしてここ数週間のうちに、1Passwordは自身のソフトウェアを全てのプラットフォームでOPVaultデータフォーマットを使用した形にアップデートします。これで、Myers氏の懸念は無くなり、みんなの個人情報の安全も確保されることでしょう。
image by Ervins Strauhmanis
source: 1Password and Dale Myers via Engadget
Jamie Condliffe - Gizmodo US[原文]
(SHIORI)