2段階認証アプリ「Google Authenticator」で重要な問題?仮想通貨利用者も要注意
仮想通貨取引所などの二段階認証(2FA)でも頻繁に利用されているアプリ「Google Authenticator(Google認証システム)」のクラウド同期・バックアップ機能で、重要情報の漏洩につながる可能性のある問題が見つかったことが明らかになりました。
今回の件については、Googleのグループプロダクトマネージャーからの説明も行われています。
クラウド同期・バックアップ機能に関する問題点の報告
仮想通貨取引所などでは、取引所にログインする際の二段階認証(2FA)で「Google Authenticator(Google認証システム)」のサービスが広く利用されていますが、このGoogle認証システムのバックアップ機能はエンドツーエンド暗号化(E2EE)されていないため、重大なセキュリティリスクにさらされる可能性があると報告されています。
Google Authenticator(Google認証システム)とは、2段階認証で利用されるワンタイムパスワードを生成するアプリであり、1つのアプリ内で複数のサービスの2段階認証コードを管理することができるようになっています。
Google認証システムでは「バックアップ前にデバイスが壊れたり、紛失したりすると2段階認証コードがわからなくなる」という問題があったため、今月24日にはこのような問題の解決策として「Googleアカウントを介したクラウド同期」の機能が提供されていましたが、今回の報告ではこの機能のクラウドバックアップに問題が見つかったことが報告されています。
クラウド同期で重要情報が漏洩する可能性
セキュリティ研究者「Mysk」が2023年4月26日に報告した内容によると、Google Authenticatorでクラウド同期を行う際のネットワークトラフィックを分析した結果「トラフィックがE2E暗号化されていないこと」が判明したとのことです。
Myskは「これはGoogleがサーバーに送られたデータを見ることができることを意味するものであり、おそらくGoogleのサーバーに保存されている間もデータを見ることができる」と説明しており、Googleのサーバーに送られたデータが他の誰かに見られる可能性があることを警告しています。
また「パスフレーズを追加して秘密を保護して、ユーザーだけがアクセスできるようにするオプションもない」とされており、2段階認証のQRコードには"ワンタイムパスワードを生成するための鍵やシード"が含まれているため、これらの情報が他人に知られた場合は2段階認証が突破される可能性があると説明されています。
さらに、2段階認証のQRコードには通常「Twitter・Amazon」などといったサービス名やアカウント名などの情報も含まれているため、Google側はこれらのデータを全て見ることが可能で、自分が利用しているオンラインサービスを把握され、その情報がパーソナライズされた広告に利用される可能性があるとも説明されています。
「Mysk」はこのような理由から"Google Authenticatorのクラウド同期機能はオンにするべきではない"と説明しています。
Google側は「将来的にはE2EEを提供する予定」と説明
Google(グーグル)のグループプロダクトマネージャーであるChristiaan Brand(クリスチャン・ブランド)氏は2023年4月27日に『私たちは常にGoogleユーザーの安全と安心に重点を置いており、Google Authenticatorの最新アップデートもその例外ではない』とのツイートを投稿しています。
同氏は今回のツイートで「ユーザーの利便性と安全性を考慮した上でサービスを展開している」ということを説明しており、ユーザーに十分な選択肢を提供するために、いくつかの製品でオプション機能としてE2E暗号化を展開し、将来的にはGoogle AuthenticatorにもE2EEを提供する予定と説明を行っています。
私たちは常にGoogleユーザーの安全と安心に重点を置いています。Google Authenticatorの最新アップデートもその例外ではありません。私たちの目標は「ユーザーを保護しながらも、便利で役立つ機能を提供すること」です。
私たちはGoogle Authenticatorを含む当社すべての製品で転送中・保存時にデータの暗号化を行います。E2EEは強力な保護機能ですが、その代償として「ユーザーが自分のデータにアクセスできなくなり、データが回復できなくなる可能性がある」というリスクがあります。
ユーザーに十分な選択肢を提供するために、いくつかの製品でオプション機能としてE2E暗号化を展開し始め、将来的にはGoogle AuthenticatorにもE2EEを提供する予定です。
現時点で私たちは「現在の製品が多くのユーザーにとって適切なバランスを保っており、オフラインで利用するのに比べて大きな利点を提供している」と考えています。ただし、バックアップを自己管理したいユーザーには、アプリをオフラインで使用するオプションも引き続き提供されます。
Myskは「Google Authenticatorのクラウド同期機能はオンにすべきでない」と述べていますが、自分自身で適切にバックアップを管理できなかった場合には、結果的に重要情報が外部に漏洩したり、バックアップをなくしてしまう可能性もあるため、実際に行動を起こす際には、自分の性格なども考慮してどのような方法を取るかを決めることが重要です。
仮想通貨ニュース|新着
OKJ:ステーキングでもらえる「200万IOST 山分けキャンペーン」開始
SHIB・BUBBLE関連の「SHIFUエアドロップ」報酬請求&取引が可能に|請求方法と注意点も
カルダノ(ADA)をより安全に交換|Ledger Liveデスクトップ版でスワップ可能に
Aptos共同創設者兼CEOのモー・シェイク氏が辞任、後任にエイブリー・チン氏就任
暗号資産の税制改正に向けた重要な一歩、税制改正大綱に「課税見直し検討」の記載
SHIB・BONE・LEASHが合計14ブロックチェーンで利用可能に|バーンの加速にも期待
仮想通貨入門 - 基礎知識
仮想通貨を保有するだけで増える「ステーキング対応のおすすめ取引所」税金に関する注意点も
【年利最大9%】ソラナ(SOL)をステーキングで増やす方法|画像付きで解説
【年利40%以上】フレア(Flare/FLR)をラップ&デリゲートで増やす方法|画像付きで解説
シバイヌDEX「ShibaSwap」の使い方|流動性提供の方法などをまとめた解説動画公開
各種仮想通貨を「Shibarium基盤BONE」に簡単交換|ガス代補充機能の使い方を解説
NFTマーケットプレイス「Magic Eden」とは?機能や使い方などを解説
市場分析・価格予想
ビットコイン価格、最高29万ドルになる可能性=Bitfinexレポート
アルトコインシーズンついに到来か、複数のデータが近日中の価格上昇を示唆
1BTC=740,000ドル「あり得ない数字ではない」パンテラ創業者のビットコイン価格予想
ビットコインはどこまで下がる?買いシグナル・強気サインの報告も=アナリスト予想
ワールドコイン(WLD)の将来は明るい?著名アナリストが語る目標価格とサポートライン
ビットコイン、10万ドル到達は序章に過ぎない?Galaxy CEOが語る上昇理由と今後の値動き
人気の仮想通貨ニュース
お得なキャンペーン情報
話題の仮想通貨の今後は?
BITTIMESライター募集
