仮想通貨取引所などの二段階認証(2FA)でも頻繁に利用されているアプリ「Google Authenticator(Google認証システム)」のクラウド同期・バックアップ機能で、重要情報の漏洩につながる可能性のある問題が見つかったことが明らかになりました。
今回の件については、Googleのグループプロダクトマネージャーからの説明も行われています。
クラウド同期・バックアップ機能に関する問題点の報告
仮想通貨取引所などでは、取引所にログインする際の二段階認証(2FA)で「Google Authenticator(Google認証システム)」のサービスが広く利用されていますが、このGoogle認証システムのバックアップ機能はエンドツーエンド暗号化(E2EE)されていないため、重大なセキュリティリスクにさらされる可能性があると報告されています。
Google Authenticator(Google認証システム)とは、2段階認証で利用されるワンタイムパスワードを生成するアプリであり、1つのアプリ内で複数のサービスの2段階認証コードを管理することができるようになっています。
Google認証システムでは「バックアップ前にデバイスが壊れたり、紛失したりすると2段階認証コードがわからなくなる」という問題があったため、今月24日にはこのような問題の解決策として「Googleアカウントを介したクラウド同期」の機能が提供されていましたが、今回の報告ではこの機能のクラウドバックアップに問題が見つかったことが報告されています。
クラウド同期で重要情報が漏洩する可能性
セキュリティ研究者「Mysk」が2023年4月26日に報告した内容によると、Google Authenticatorでクラウド同期を行う際のネットワークトラフィックを分析した結果「トラフィックがE2E暗号化されていないこと」が判明したとのことです。
Myskは「これはGoogleがサーバーに送られたデータを見ることができることを意味するものであり、おそらくGoogleのサーバーに保存されている間もデータを見ることができる」と説明しており、Googleのサーバーに送られたデータが他の誰かに見られる可能性があることを警告しています。
また「パスフレーズを追加して秘密を保護して、ユーザーだけがアクセスできるようにするオプションもない」とされており、2段階認証のQRコードには”ワンタイムパスワードを生成するための鍵やシード”が含まれているため、これらの情報が他人に知られた場合は2段階認証が突破される可能性があると説明されています。
さらに、2段階認証のQRコードには通常「Twitter・Amazon」などといったサービス名やアカウント名などの情報も含まれているため、Google側はこれらのデータを全て見ることが可能で、自分が利用しているオンラインサービスを把握され、その情報がパーソナライズされた広告に利用される可能性があるとも説明されています。
「Mysk」はこのような理由から”Google Authenticatorのクラウド同期機能はオンにするべきではない“と説明しています。
Google側は「将来的にはE2EEを提供する予定」と説明
Google(グーグル)のグループプロダクトマネージャーであるChristiaan Brand(クリスチャン・ブランド)氏は2023年4月27日に『私たちは常にGoogleユーザーの安全と安心に重点を置いており、Google Authenticatorの最新アップデートもその例外ではない』とのツイートを投稿しています。
同氏は今回のツイートで「ユーザーの利便性と安全性を考慮した上でサービスを展開している」ということを説明しており、ユーザーに十分な選択肢を提供するために、いくつかの製品でオプション機能としてE2E暗号化を展開し、将来的にはGoogle AuthenticatorにもE2EEを提供する予定と説明を行っています。
私たちは常にGoogleユーザーの安全と安心に重点を置いています。Google Authenticatorの最新アップデートもその例外ではありません。私たちの目標は「ユーザーを保護しながらも、便利で役立つ機能を提供すること」です。
私たちはGoogle Authenticatorを含む当社すべての製品で転送中・保存時にデータの暗号化を行います。E2EEは強力な保護機能ですが、その代償として「ユーザーが自分のデータにアクセスできなくなり、データが回復できなくなる可能性がある」というリスクがあります。
ユーザーに十分な選択肢を提供するために、いくつかの製品でオプション機能としてE2E暗号化を展開し始め、将来的にはGoogle AuthenticatorにもE2EEを提供する予定です。
現時点で私たちは「現在の製品が多くのユーザーにとって適切なバランスを保っており、オフラインで利用するのに比べて大きな利点を提供している」と考えています。ただし、バックアップを自己管理したいユーザーには、アプリをオフラインで使用するオプションも引き続き提供されます。
Myskは「Google Authenticatorのクラウド同期機能はオンにすべきでない」と述べていますが、自分自身で適切にバックアップを管理できなかった場合には、結果的に重要情報が外部に漏洩したり、バックアップをなくしてしまう可能性もあるため、実際に行動を起こす際には、自分の性格なども考慮してどのような方法を取るかを決めることが重要です。