複数のサービスで同じパスワードを使い回しすることはセキュリティ上危険な行為と考えられています。利用するサービスごとに異なるパスワードを使用するとなるとパスワードの管理は非常に大変になるので、セキュリティの専門家などは「1Password」や「LastPass」といったパスワードマネージャーの利用を推奨しています。しかし、こういったパスワードマネージャーが重大な脆弱性を抱えており、ユーザーIDやパスワードといった認証情報を漏らしてしまう可能性があると報じられています。

TeamSIK - Password-Manager Apps

https://team-sik.org/trent_portfolio/password-manager-apps/

9 Popular Password Manager Apps Found Leaking Your Secrets

http://thehackernews.com/2017/02/password-manager-apps.html



ドイツのセキュリティ関連の研究所であるFraunhofer SITのTeamSIKに所属するセキュリティ研究者が、Google Playで10万回から5000万回インストールされている人気の高いパスワードマネージャーアプリ「LastPass」「Keeper」「1Password」「My Passwords」「Dashlane Password Manager」「Password Manager」「F-Secure KEY」「Keepsafe」「Avast Passwords」の9つをテストしました。その結果、TeamSIKは9つのアプリで合計26件の脆弱性を発見し、それぞれ1つ以上の脆弱性を持つことが明らかになっています。



By Blue Coat Photos

TeamSIKによると、いくつかのパスワードマネージャーアプリはデータ残存攻撃やクリップボードスニッフィングに対して脆弱であることが判明。アプリの中にはマスターパスワードがプレーンテキストで保存されているものや、アプリのコード内に暗号化キーが書かれているものも存在しました。中でも重要度の高い脆弱性のひとつが、Informaticore開発のPassword Managerアプリで発見されたもので、「アプリのコードに暗号化キーがハードコードされた状態なため、暗号化されたマスターパスワードを比較的簡単に解読できる」というもの。同様の脆弱性はLastPassでも発見されています。

このテスト結果についてTeamSIKは、「全体の結果は非常に心配なものとなっており、パスワードマネージャーアプリは『安全』と主張しているにもかかわらず、保管されているパスワードやID情報に対する十分な保護メカニズムを備えているとは言えません」とコメントしており、アプリが重要な認証情報を保護できるクオリティにないと指摘しています。

実際、ユーザーがパスワードマネージャーアプリで管理していたパスワードが、ユーザーのデバイスにインストールされた悪質なアプリに簡単に盗まれたことも明らかになっています。また、ほとんどのパスワードマネージャーアプリが自動でテキストボックスにIDやパスワードを入力する「オートフィル機能」を搭載していますが、この機能をターゲットにしたフィッシング詐欺により、簡単に個人情報を盗まれてしまう可能性も示唆されています。

オートフィル機能をターゲットにしたフィッシング詐欺は既に存在しており、その危険性は以下の記事で指摘されています。記事中ではブラウザに搭載されているオートフィル機能をターゲットにしたフィッシング詐欺のサンプルプログラムが登場します。

名前やメールアドレス・住所などを自動的に入力してくれる「オートフィル機能」を使うと個人情報がこっそり盗まれる危険性あり - GIGAZINE



なお、発見された脆弱性はアプリの開発元に報告されており、研究結果が公表される前に修正が施されているので、これらのアプリを使用している場合は速やかにアプリのアップデートを行うことが推奨されています。