2段階認証アプリ「Google Authenticator」で重要な問題?仮想通貨利用者も要注意
仮想通貨取引所などの二段階認証(2FA)でも頻繁に利用されているアプリ「Google Authenticator(Google認証システム)」のクラウド同期・バックアップ機能で、重要情報の漏洩につながる可能性のある問題が見つかったことが明らかになりました。
今回の件については、Googleのグループプロダクトマネージャーからの説明も行われています。
クラウド同期・バックアップ機能に関する問題点の報告
仮想通貨取引所などでは、取引所にログインする際の二段階認証(2FA)で「Google Authenticator(Google認証システム)」のサービスが広く利用されていますが、このGoogle認証システムのバックアップ機能はエンドツーエンド暗号化(E2EE)されていないため、重大なセキュリティリスクにさらされる可能性があると報告されています。
Google Authenticator(Google認証システム)とは、2段階認証で利用されるワンタイムパスワードを生成するアプリであり、1つのアプリ内で複数のサービスの2段階認証コードを管理することができるようになっています。
Google認証システムでは「バックアップ前にデバイスが壊れたり、紛失したりすると2段階認証コードがわからなくなる」という問題があったため、今月24日にはこのような問題の解決策として「Googleアカウントを介したクラウド同期」の機能が提供されていましたが、今回の報告ではこの機能のクラウドバックアップに問題が見つかったことが報告されています。
クラウド同期で重要情報が漏洩する可能性
セキュリティ研究者「Mysk」が2023年4月26日に報告した内容によると、Google Authenticatorでクラウド同期を行う際のネットワークトラフィックを分析した結果「トラフィックがE2E暗号化されていないこと」が判明したとのことです。
Myskは「これはGoogleがサーバーに送られたデータを見ることができることを意味するものであり、おそらくGoogleのサーバーに保存されている間もデータを見ることができる」と説明しており、Googleのサーバーに送られたデータが他の誰かに見られる可能性があることを警告しています。
また「パスフレーズを追加して秘密を保護して、ユーザーだけがアクセスできるようにするオプションもない」とされており、2段階認証のQRコードには"ワンタイムパスワードを生成するための鍵やシード"が含まれているため、これらの情報が他人に知られた場合は2段階認証が突破される可能性があると説明されています。
さらに、2段階認証のQRコードには通常「Twitter・Amazon」などといったサービス名やアカウント名などの情報も含まれているため、Google側はこれらのデータを全て見ることが可能で、自分が利用しているオンラインサービスを把握され、その情報がパーソナライズされた広告に利用される可能性があるとも説明されています。
「Mysk」はこのような理由から"Google Authenticatorのクラウド同期機能はオンにするべきではない"と説明しています。
Google側は「将来的にはE2EEを提供する予定」と説明
Google(グーグル)のグループプロダクトマネージャーであるChristiaan Brand(クリスチャン・ブランド)氏は2023年4月27日に『私たちは常にGoogleユーザーの安全と安心に重点を置いており、Google Authenticatorの最新アップデートもその例外ではない』とのツイートを投稿しています。
同氏は今回のツイートで「ユーザーの利便性と安全性を考慮した上でサービスを展開している」ということを説明しており、ユーザーに十分な選択肢を提供するために、いくつかの製品でオプション機能としてE2E暗号化を展開し、将来的にはGoogle AuthenticatorにもE2EEを提供する予定と説明を行っています。
私たちは常にGoogleユーザーの安全と安心に重点を置いています。Google Authenticatorの最新アップデートもその例外ではありません。私たちの目標は「ユーザーを保護しながらも、便利で役立つ機能を提供すること」です。
私たちはGoogle Authenticatorを含む当社すべての製品で転送中・保存時にデータの暗号化を行います。E2EEは強力な保護機能ですが、その代償として「ユーザーが自分のデータにアクセスできなくなり、データが回復できなくなる可能性がある」というリスクがあります。
ユーザーに十分な選択肢を提供するために、いくつかの製品でオプション機能としてE2E暗号化を展開し始め、将来的にはGoogle AuthenticatorにもE2EEを提供する予定です。
現時点で私たちは「現在の製品が多くのユーザーにとって適切なバランスを保っており、オフラインで利用するのに比べて大きな利点を提供している」と考えています。ただし、バックアップを自己管理したいユーザーには、アプリをオフラインで使用するオプションも引き続き提供されます。
Myskは「Google Authenticatorのクラウド同期機能はオンにすべきでない」と述べていますが、自分自身で適切にバックアップを管理できなかった場合には、結果的に重要情報が外部に漏洩したり、バックアップをなくしてしまう可能性もあるため、実際に行動を起こす際には、自分の性格なども考慮してどのような方法を取るかを決めることが重要です。
仮想通貨ニュース|新着
ビットコインステーキング「Babylon(バビロン)」BABYトークンエアドロップを発表
カルダノ財団、デジタルIDプラットフォーム「Veridian」と「Veridian Wallet」を発表
「100万円分のビットコイン山分けキャンペーン」を開催:ビットバンク
フロリダ州選挙、仮想通貨支持者が勝利|業界支援の政治活動委員会(PAC)が影響力を増す
リップル、RLUSDを自社決済システムに統合|企業決済の需要を推進
三井住友FG・三菱UFJ、ステーブルコイン市場参入へ|初の円建て発行やRWAトークン化も
仮想通貨入門 - 基礎知識
仮想通貨がもらえるエアドロップとは?参加方法・注意点・税金などについて解説
仮想通貨HYPE(Hyperliquid)とは?基本情報・特徴・購入方法などを解説
仮想通貨DEX「Hyperliquid(ハイパーリキッド)」の特徴や使い方を徹底解説
ソラナ基盤の代表的なDeFiプロジェクトを紹介|特徴・運用方法・注意点も
ソラナ(SOL)基盤の代表的なDAppsを紹介|使い方や注意点も
ソラナ(Solana/SOL)系ミームコインとは?代表銘柄トップ5もあわせて紹介
市場分析・価格予想
トランプ関税ショックでビットコイン価格急落|仮想通貨市場は回復するのか
「ビットコイン時価総額は500兆ドルに」金や不動産が価値を失う|セイラー氏予測
ビットコイン価格「FRBの金融緩和・トランプ大統領の関税緩和」で底を打つ|10xリサーチ創設者
ビットコイン価格86,000ドルに回復|パウエルFRB議長「インフレのペースを緩める」
ビットコイン「100万ドル到達時に売る?売らない?」Redditユーザーの白熱議論
「ビットコインは究極の基軸通貨へ」25万ドルは始まりに過ぎない|ティム・ドレイパー氏
人気の仮想通貨ニュース
お得なキャンペーン情報
話題の仮想通貨の今後は?
BITTIMESライター募集
