コンテンツにスキップ
ビジネスとIT
セキュリティ専門家は、侵害を受けてパスワード保存と Android アプリに欠陥を発見しました。
セキュリティ専門家は、オンラインメモ同期サービス「Evernote」を批判し、サーバーやAndroid端末にパスワードを保存する際に標準以下の暗号化保護を採用していたため、機密性の高いユーザーデータを不必要に危険にさらしたと述べている。
Evernoteのセキュリティに対する調査は、Evernoteの関係者が、サービスのエンドユーザー5,000万人の名前、メールアドレス、パスワードデータが漏洩したことを公表してから2日後に行われました。過去数年間に公開されたEvernoteのブログ記事によると、同社はパスワードや機密性の高いユーザーデータを、既知の脆弱性を含む暗号化アルゴリズムとスキームを用いて保護しています。そのため、ハッカーがサーバーやエンドユーザーのスマートフォンに侵入した場合に備えて、同社のセキュリティチームが顧客保護に十分な対策を講じていないという批判が高まっています。
主な苦情は、Evernoteがユーザーのパスワードをデータベースに保存する前に、MD5暗号化アルゴリズムを使用して一方向ハッシュに変換していることに起因しています。MD5を使用したパスワード保存は、セキュリティ専門家から長年批判されてきました。これは、このアルゴリズムが「password」などの平文を「5f4dcc3b5aa765d61d8327deb882cf99」のような一意の文字列に変換する非常に高速で計算コストの低い方法であるためです。MD5は、比較的小規模なコンピュータであっても、1秒間に数十億回の推測を可能にするため、攻撃者がハッシュを解読する作業を大幅に容易にしています。
一方、Twitterがパスワード保護に使用しているbcryptなどの低速アルゴリズムを使用すると、ハッシュを平文パスワードに変換する作業にかなりの時間と計算量がかかります。Evernoteが推奨するように、ランダム性を高めるために暗号ソルトを使用してハッシュを生成する場合でも、MD5は依然として適切な選択肢とは考えられません。
「1つのGPUで毎秒50億回の推測処理ができる場合、ソルト処理はそれほど大きな違いを生みません」と、セキュリティコンサルタント兼ソフトウェア開発者のアダム・コーディル氏はArsに語った。「毎秒50億回の推測処理ができないようにするには、bcrypt、scrypt、PBKDF2といった別の技術で処理速度を落とす必要があります。」
2011 年のブログ投稿では、Evernote のエンジニアである Dave Engberg 氏は、このよく知られた自明の理に気づいていないようでした。
「純粋なバックエンド MD5 ハッシュの場合」と彼は、MD5 の選択に異議を唱える読者への返答として書いている。「仮想的な攻撃者は出力 (MD5 ハッシュ) にも元の入力 (ユーザーのパスワードとソルト) にもアクセスできないため、MD5 の脆弱性に基づく効果的な攻撃は実際には存在しない。」
もちろん、Evernoteのサーバーにアクセスした攻撃者はMD5ハッシュを読み取る能力を持っていたことが、今では分かっています。今回のようなサーバー侵害は、パスワードがそもそも平文で保存されない理由そのものです。攻撃者にハッシュの解読を要求することで、侵害を受けた企業と影響を受けたエンドユーザーは、侵害されたデータを使ってアカウントへの不正アクセスが行われる前に、パスワードをリセットする時間を稼ぐことができます。しかし、Evernoteの場合、MD5の使用によって解読プロセスが高速化されるため、この利点の多くは失われています。
Evernoteの功績として、セキュリティチームはセキュリティ侵害を迅速に把握し、アカウント乗っ取りに利用される前にユーザーのパスワードをリセットしたようです。しかし、パスワードの再利用率が高いことを考えると(平均的なWebユーザーは25個のアカウントを保有していますが、それらを保護するために使用しているパスワードはわずか6.5個です)、Evernoteのハッキングで漏洩したハッシュは、同じパスワードを使用している他のサイトで対応するパスコードを変更しない限り、数千万人のアカウントユーザーに対して悪用される可能性があります。EvernoteがMD5を採用したことにより、サイトがより適切なアルゴリズムを採用した場合よりも、ユーザーがパスワードをリセットする時間が短くなりました。
コーディル氏は、Evernoteのセキュリティ上の欠陥についても批判した。例えば、Androidスマートフォン向けのEvernoteアプリは、ユーザーのパスワードをXORと呼ばれる方式で暗号化して保存している。その結果、ハッカーがスマートフォンに物理的にアクセスした場合、機種によっては数分でパスコードを抽出し、それを使ってEvernoteアカウントに不正アクセスできるようになる可能性がある。コーディル氏は、抽出プロセスを効率化する短いスクリプトも公開している。Evernoteの設計とは全く対照的に、標準的な方法では、ログイン認証情報は暗号化されたトークンまたは一方向ハッシュとしてスマートフォンに保存される。
コーディル氏はまた、Evernoteが機密性の高いユーザーデータを暗号化するためにRC2暗号を使用していることを批判した。RC2は、研究者が基礎となるデータの保護に使用されている鍵を比較的簡単に抽出できる単純な攻撃を考案したため、1990年代後半に人気がなくなった。
オンラインサービスが私たちにますます多くの機密データを預けるよう説得しようとしている今、ハッキングに対するシステムの堅牢性を高め、万が一ハッキングが発生した場合の被害を最小限に抑えるために、最先端のソフトウェアと技術を導入する責任があります。こうしたサービスを利用する人は、セキュリティ研究者のトロイ・ハント氏に倣い、パスワードの保管方法を公表するようサービスに求めるべきです。
エバーノートの広報担当者は電子メールで、サービスのセキュリティを擁護した。
「当社のパスワード保存システムは、暗号化アルゴリズムとその他の対策の両面において安全であると考えていますが、今回の情報漏洩を受けて細部に至るまで再評価を行い、今後も最新の技術を継続的に導入していきます」と彼女は述べた。「また、年内に全ユーザーを対象にオプションの二要素認証を導入する予定でしたが、現在、その計画を加速させています。」
スコット氏はまた、Evernoteのエンジニアがオプションのクライアント側暗号化保護の「大幅なアップグレード」を今年後半に予定していると述べた。さらに、今週後半に予定されているアップデートで、Android端末向けEvernoteアプリの現在のパスワード保存メカニズムが削除されると付け加えた。セキュリティ権限により、情報へのアクセスはアプリ本体とデバイスのルート権限を持つユーザーのみに制限される。
Evernote からのコメントを含めるように投稿を更新しました。
ダン・グッドインはArs Technicaのシニアセキュリティエディターとして、マルウェア、コンピュータースパイ、ボットネット、ハードウェアハッキング、暗号化、パスワードなどの記事を担当しています。余暇にはガーデニング、料理、インディーズ音楽シーンの追及を楽しんでいます。サンフランシスコを拠点としています。MastodonのこちらとBlueskyのこちらでフォローしてください。SignalのDanArs.82までご連絡ください。
88件のコメント
