インターネット上の様々なサービスを利用する上で求められるパスワード。同じものを使い回すと、あるサイトでID(多くの場合は電子メールアドレス)とパスワードが流出すると、利用している多くのサイトで悪意ある者によって利用されてしまうことになる。このため、「全てのサイトで異なるパスワードの利用を」と呼びかけられているが、覚えるのにも限界がある。そんな時に便利なのが「パスワードマネージャ」だ。
パスワードマネージャは、特定のECサイトなどで新規にアカウントを作成する際に、サイト毎に異なる暗号生成したパスワードを推奨し設定・保存してくれる便利な機能だ。暗号生成されているのでメモをするのは難解であるが、パスワードマネージャが保存してくれるから便利だ。複数台のパソコンやスマートフォンを利用している場合は、それらを同期してくれ、パソコンで設定したID/パスワードをスマートフォンで利用できるなど利便性は非常に高い。
パスワードマネージャには、ブラウザーに標準搭載されているものと、ブラウザー拡張機能として組み込むタイプの2種類がある。Firefox,Chrome,Edge,Safariには強力なパスワードマネージャが標準搭載されている。後者のものはセキュリティソフト会社が付加価値として提供していたり、単独で販売されているものやオープンソースのものがある。
ブラウザーに標準搭載されているものはクラックされないように端末固有の識別アルゴリズムなどを用いて暗号化され強固に守られている。
セキュリティソフトの付加価値として提供されているものや専用商品として発売されているものは、セキュリティソフトの会社が信頼しうるかの一言につきるだろう。グーグルのセキュリティ技術者がトレンドマイクロ社のパスワードマネージャを5分でやぶってしまったことは、ネット上の過去の記事などから検索して一度読んで欲しい。パスワードマネージャは、犯罪者にとって宝箱であるため、彼らが個人・法人の端末から盗む第一目標であることを忘れてはいけない。
パスワードマネージャをクラックする方法としては、他のアプリケーション同様にプログラムを入手して、それをプログラムコードに直して分析することから始まる。脆弱なポイントをソースコードから探すのだ。たくさんのバグを経験した熟練したプロラマーであれば、容易にバグを発見することができるし、セキュリティエンジニアは過去の脆弱性情報から突破パイントのヒントを容易に得ることができる。グーグルのセキュリティエンジニアもこうした手法を用いてトレンドマイクロ社のパスワードマネージャの脆弱性を調べたに違いない。
ソースコードに直すといっても簡単ではなく、一度コンパイルしてしまうと読むのは本来のソースコードより難解になっている。しかし、パスワードマネージャがオープンソースとして一般公開されていたらどうだろうか。そこにバイナリーからソースコードに直したものとは比較にならないほど読みやすいコードが存在する。悪意のある者にとっては、脆弱性を探すヒントがそこに豊富に存在している。またコミュニティ型のプロジェクトでパスワードマネージャが開発されているのであれば、そこに悪意のある者が参加し、不届きなソースコードを挿入しコンパイルしているかもしれない。
パスワードマネージャは、ブラウザー組み込み型を利用することを強くお勧めしたい。セキュリティ上の問題が発生したらいち早く修正されるからだ。流失リスクも最小となる。
