「Google認証システム」のコード同期、エンドツーエンド暗号化には未対応と判明

今回は「「Google認証システム」のコード同期、エンドツーエンド暗号化には未対応と判明」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 「Google Authenticator(Google認証システム)」アプリが今週アップデートされ、2段階認証(2FA)用のコードをGoogleアカウント(クラウド)に保存できるようになったが、ソフトウェア企業Myskによると、エンドツーエンドの暗号化が適用されていないという。

 Myskは4月26日、「アプリがシークレット(認証用コード)を同期する時のネットワークトラフィックを解析したところ、トラフィックはエンドツーエンド暗号化がなされていないことが判明した。スクリーンショットで分かるように、これはGoogleがシークレットを、おそらくそれが同社サーバーに保存されている間も、見ることができることを意味する。シークレットを保護するためのパスフレーズを追加するオプションはない」とツイートした。

 シークレットとは、保護された情報や機密情報のロック解除に使われる認証情報を指す用語だ。

 Myskのセキュリティ研究者らは、デバイス間で2FAコードを同期する機能を有効化しないよう推奨している。

 待ち望まれていたコード同期機能により、スマートフォンの紛失や盗難の際にもコードにアクセスできるようになる。これは元の端末が手元になくても、Googleアカウントを介してコードにアクセスし、2FA対応の「Gmail」や銀行アプリ、その他多数のサービスを利用できることを意味する。

 Googleの広報担当者は米CNETへの電子メールで、「エンドツーエンド暗号化(E2EE)は、追加の保護を提供する強力な機能だが、ユーザーが自分のデータからロックアウトされて復元できなくなる可能性がある」「ユーザーにフルセットのオプションを確実に提供するために、一部の当社製品を対象にオプションのE2EEの提供を開始しており、将来的にはGoogle認証システムにもE2EEを提供する計画だ」と説明した。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
JR西日本、大阪ガスと共同開発したシステムを導入–強風予測で安定した運行を目指す
IT関連
2022-06-18 01:26
パスキーがAWS IAMの多要素認証として利用可能に
AWS
2024-06-12 19:14
デジタルサイネージ広告の勝機–失敗から学ぶ、メディア開発に必要な4視点
IT関連
2024-04-05 14:17
WindowsにLinuxカーネルの拡張機能「eBPF」実装へ
クラウドユーザー
2021-05-14 00:45
マイクロソフト幹部が説く「生成AIとアプリケーションの関係」
IT関連
2023-10-07 13:00
オンラインRPGでAWSを学ぶ「AWS Cloud Quest」/登大遊氏はインチキネットワークの普及に取り組む/Electronの代替を狙うRust製「Tauri」ほか、2022年3月の人気記事
編集後記
2022-04-08 14:45
APIをプラットフォーム化せよ
IT関連
2022-03-22 21:27
ライブ配信「ツイキャス」が音声SNS機能を強化、最大101人の会話を10万人規模で一斉視聴可能に
ネットサービス
2021-05-28 13:06
最高情報セキュリティ責任者「CISO」の業務執行に必要なこと
IT関連
2021-01-20 23:18
マイクロソフト、AzureやMicrosoft 365などに影響した先週の大規模障害の原因報告。WAN内の全ルータが再計算状態に突入し、パケット転送が不可に
Microsoft Azure
2023-02-01 11:15
ロンドンのJiffyが3.9億円のシード投資を調達しダークストア競争に参入
シェアリングエコノミー
2021-03-18 15:41
写真で見るグーグルのAI活用ロボット–自然な言葉を理解、缶を捨てポテチを渡す
IT関連
2022-08-19 01:12
「Raspberry Pi 5」登場、CPUなどが大幅強化
IT関連
2023-09-30 00:19
米アマゾン、Amazon Booksや4-star storeなど68の実店舗を閉鎖へ
IT関連
2022-03-04 17:27