2段階認証アプリ「Google Authenticator」で重要な問題?仮想通貨利用者も要注意

by BITTIMES

仮想通貨取引所などの二段階認証(2FA)でも頻繁に利用されているアプリ「Google Authenticator(Google認証システム)」のクラウド同期・バックアップ機能で、重要情報の漏洩につながる可能性のある問題が見つかったことが明らかになりました。

今回の件については、Googleのグループプロダクトマネージャーからの説明も行われています。

クラウド同期・バックアップ機能に関する問題点の報告

仮想通貨取引所などでは、取引所にログインする際の二段階認証(2FA)で「Google Authenticator(Google認証システム)」のサービスが広く利用されていますが、このGoogle認証システムのバックアップ機能はエンドツーエンド暗号化(E2EE)されていないため、重大なセキュリティリスクにさらされる可能性があると報告されています。

Google Authenticator(Google認証システム)とは、2段階認証で利用されるワンタイムパスワードを生成するアプリであり、1つのアプリ内で複数のサービスの2段階認証コードを管理することができるようになっています。

Google認証システムでは「バックアップ前にデバイスが壊れたり、紛失したりすると2段階認証コードがわからなくなる」という問題があったため、今月24日にはこのような問題の解決策として「Googleアカウントを介したクラウド同期」の機能が提供されていましたが、今回の報告ではこの機能のクラウドバックアップに問題が見つかったことが報告されています。

クラウド同期で重要情報が漏洩する可能性

セキュリティ研究者「Mysk」が2023年4月26日に報告した内容によると、Google Authenticatorでクラウド同期を行う際のネットワークトラフィックを分析した結果「トラフィックがE2E暗号化されていないこと」が判明したとのことです。

Myskは「これはGoogleがサーバーに送られたデータを見ることができることを意味するものであり、おそらくGoogleのサーバーに保存されている間もデータを見ることができる」と説明しており、Googleのサーバーに送られたデータが他の誰かに見られる可能性があることを警告しています。

また「パスフレーズを追加して秘密を保護して、ユーザーだけがアクセスできるようにするオプションもない」とされており、2段階認証のQRコードには"ワンタイムパスワードを生成するための鍵やシード"が含まれているため、これらの情報が他人に知られた場合は2段階認証が突破される可能性があると説明されています。

さらに、2段階認証のQRコードには通常「Twitter・Amazon」などといったサービス名やアカウント名などの情報も含まれているため、Google側はこれらのデータを全て見ることが可能で、自分が利用しているオンラインサービスを把握され、その情報がパーソナライズされた広告に利用される可能性があるとも説明されています。

「Mysk」はこのような理由から"Google Authenticatorのクラウド同期機能はオンにするべきではない"と説明しています。

Google側は「将来的にはE2EEを提供する予定」と説明

Google(グーグル)のグループプロダクトマネージャーであるChristiaan Brand(クリスチャン・ブランド)氏は2023年4月27日に『私たちは常にGoogleユーザーの安全と安心に重点を置いており、Google Authenticatorの最新アップデートもその例外ではない』とのツイートを投稿しています。

同氏は今回のツイートで「ユーザーの利便性と安全性を考慮した上でサービスを展開している」ということを説明しており、ユーザーに十分な選択肢を提供するために、いくつかの製品でオプション機能としてE2E暗号化を展開し、将来的にはGoogle AuthenticatorにもE2EEを提供する予定と説明を行っています。

私たちは常にGoogleユーザーの安全と安心に重点を置いています。Google Authenticatorの最新アップデートもその例外ではありません。私たちの目標は「ユーザーを保護しながらも、便利で役立つ機能を提供すること」です。

私たちはGoogle Authenticatorを含む当社すべての製品で転送中・保存時にデータの暗号化を行います。E2EEは強力な保護機能ですが、その代償として「ユーザーが自分のデータにアクセスできなくなり、データが回復できなくなる可能性がある」というリスクがあります。

ユーザーに十分な選択肢を提供するために、いくつかの製品でオプション機能としてE2E暗号化を展開し始め、将来的にはGoogle AuthenticatorにもE2EEを提供する予定です。

現時点で私たちは「現在の製品が多くのユーザーにとって適切なバランスを保っており、オフラインで利用するのに比べて大きな利点を提供している」と考えています。ただし、バックアップを自己管理したいユーザーには、アプリをオフラインで使用するオプションも引き続き提供されます。

Myskは「Google Authenticatorのクラウド同期機能はオンにすべきでない」と述べていますが、自分自身で適切にバックアップを管理できなかった場合には、結果的に重要情報が外部に漏洩したり、バックアップをなくしてしまう可能性もあるため、実際に行動を起こす際には、自分の性格なども考慮してどのような方法を取るかを決めることが重要です。

MyskChristiaan Brand氏

仮想通貨ニュース|新着

カルダノウォレット「Tokeo」MinswapでTOKEトークンのIDO開始NEW

カルダノウォレット「Tokeo」MinswapでTOKEトークンのIDO開始

世界数百万店舗で使える仮想通貨デビットカード「Bitget Wallet Card」登場NEW

世界数百万店舗で使える仮想通貨デビットカード「Bitget Wallet Card」登場

仮想通貨に関する内容も、国民民主党の玉木代表が与党に税制改正要望NEW

仮想通貨に関する内容も、国民民主党の玉木代表が与党に税制改正要望

JUP2回目のエアドロップの動きが本格化|Jupiter創設者がブログ公開

JUP2回目のエアドロップの動きが本格化|Jupiter創設者がブログ公開

シバリウムにERC20トークンをブリッジできる「Shibarium Bridge」登場

シバリウムにERC20トークンをブリッジできる「Shibarium Bridge」登場

仮想通貨市場の平均リターン「ミームコイン」がリード|他分野を上回るパフォーマンス記録

仮想通貨市場の平均リターン「ミームコイン」がリード|他分野を上回るパフォーマンス記録

仮想通貨入門 - 基礎知識

【年利最大9%】ソラナ(SOL)をステーキングで増やす方法|画像付きで解説

【年利最大9%】ソラナ(SOL)をステーキングで増やす方法|画像付きで解説

【年利40%以上】フレア(Flare/FLR)をラップ&デリゲートで増やす方法|画像付きで解説

【年利40%以上】フレア(Flare/FLR)をラップ&デリゲートで増やす方法|画像付きで解説

シバイヌDEX「ShibaSwap」の使い方|流動性提供の方法などをまとめた解説動画公開

シバイヌDEX「ShibaSwap」の使い方|流動性提供の方法などをまとめた解説動画公開

各種仮想通貨を「Shibarium基盤BONE」に簡単交換|ガス代補充機能の使い方を解説

各種仮想通貨を「Shibarium基盤BONE」に簡単交換|ガス代補充機能の使い方を解説

‌NFTマーケットプレイス「Magic Eden」とは?機能や使い方などを解説

‌NFTマーケットプレイス「Magic Eden」とは?機能や使い方などを解説

仮想通貨ビットコインの買い方をわかりやすく解説|取引所と販売所の違いなども紹介

仮想通貨ビットコインの買い方をわかりやすく解説|取引所と販売所の違いなども紹介

市場分析・価格予想

カルダノクジラ、1ヶ月間で145%のポジション増|ADA価格の8倍上昇予想も

カルダノクジラ、1ヶ月間で145%のポジション増|ADA価格の8倍上昇予想も

「ビットコインは100万ドルを超える」ビットワイズ幹部、根拠と共に提唱

「ビットコインは100万ドルを超える」ビットワイズ幹部、根拠と共に提唱

ビットコイン、目標価格は255,000ドル?著名アナリストの価格予想と重要なサポートライン

ビットコイン、目標価格は255,000ドル?著名アナリストの価格予想と重要なサポートライン

ポリマーケット市場「BTCが年末までに10万ドル突破」を予測|10%から65%へ

ポリマーケット市場「BTCが年末までに10万ドル突破」を予測|10%から65%へ

ビットコイン、トランプ氏勝利で76,000ドル到達|ドージコインの価格上昇も近い?

ビットコイン、トランプ氏勝利で76,000ドル到達|ドージコインの価格上昇も近い?

米大統領選後もポリマーケットの躍進は続く?選挙と関係ないトピックで取引

米大統領選後もポリマーケットの躍進は続く?選挙と関係ないトピックで取引