アイデンティティとセキュリティ

G Suite をご利用されているお客様の未ハッシュ化パスワードの保管についてのお知らせ

Google では、ユーザーのセキュリティを確保するため、パスワードを保存する際は暗号学的ハッシュ関数を用いることをポリシーとしています。しかしながら、この度、一部の法人向け G Suite のお客様に対して、ユーザーのパスワードがハッシュ化されない状態で、暗号化された社内システム内に保管されていた旨をお知らせいたしました。本件は、法人向けの G Suite ユーザーのみに影響を与えるものであり、無償で提供している一般向けの Google アカウントのユーザーに影響はありません。法人向け G Suite の管理者の皆様にはすでに、社員に対してパスワードのリセットを実施いただくようご案内致しています。また同時に、本件に関して徹底した調査も実施し、現時点で G Suite 認証情報に対する不正なアクセス、および誤用の形跡はありませんでした。

一般ユーザーおよび G Suite 法人ユーザーのGoogleでのパスワードの保存方法

Google は、Google アカウントのコアなログインシステムにおいて、ユーザーのパスワードを取得しないよう設計しています。Google アカウントのサインイン用パスワードの正誤の判断には、暗号化を用いています。たとえば、ユーザーがパスワードを設定すると、システムはパスワード自体を平文で記憶するのではなく、「ハッシュ関数」を使い暗号化をします。そのため、入力したパスワードはたとえば「72i32hedgqw23328」のような文字列に置き換えられ、ユーザーネームと関連付けた上で、ユーザーネームとパスワードの両方を再度暗号化しディスクに保存します。ユーザーが改めてアカウントにログインする際、入力されたパスワードを同様の方法で暗号化し、もしそれが保存してある文字列と一致した場合のみ、正しいパスワードが入力されたと判断し、ログインを実行します。

ハッシュ関数の有効性は不可逆変換にあります。パスワードを暗号化するのは簡単ですが、暗号化したものを元の状態に戻すのはほぼ不可能です。そのため、仮に第三者が暗号化されたパスワードを入手しても、それを元に実際のパスワードを復元することはできません。このパスワードのハッシュ化のマイナス面は、ユーザーがパスワードを忘れた場合でも正しいパスワードを伝えることができないため、以前のパスワードをリセットして、一度だけしか使えない仮パスワードを発行したうえで、新しいパスワードを設定する以外に方法がないという点です。

法人向け G Suite アカウント

Google の法人向け製品である G Suite では、ドメイン管理者に向けたパスワードの設定および回復用ツールを、お客様から求められる一般的な機能として過去に提供していたことがあります。管理者用コンソール内にあったこの機能により、管理者は社内ユーザーのパスワードのアップロードや手動設定を行うことができました。たとえば新入社員用にパスワードを発行する場合や、アカウントの復旧が必要な場合などに、管理者が利用することを意図したものでしたが、現在、同様の方法によるパスワードの復元機能は提供していません。

G Suite Enterprise アカウントで発生した問題

2005 年にこの機能を実装した際に、管理コンソールがハッシュ化されていないパスワードのコピーを保存してしまうというエラーが発生しました。このような運用は Google の基準には適合するものではありません。これらのハッシュ化されていないパスワードは、Google の暗号化されたセキュアなインフラストラクチャー内に保管されていました。現在、この問題についてはすでに修正を完了しており、該当するパスワードへの不正アクセスや誤用の形跡は認められていません。

この件とは別に、G Suite の新規ユーザーサインアップフローに関する変更をおこなっていたところ、2019 年 1 月よりハッシュ化されていないパスワードの一部を誤って保存しているという事案が判明しました。これらのパスワードは最大 14 日間、 Google の暗号化されたセキュアなインフラストラクチャー内に保管されていました。この問題に関しても、現在すでに修正済みであり、不正アクセスや誤用の形跡は認められていません。なお、これらが個別の事案であることを確認するため、Google ではセキュリティ監査を継続して参ります。

この問題による影響について

法人 G Suite ユーザーの管理者の皆様には、すでに本件により影響があったパスワードを変更いただくようご案内しています。管理者の皆様によってリセットされないアカウントについては、念のために Google 側でアカウントのリセットを実施いたします。Google の認証システムは、パスワード以外にも多くのセキュリティレイヤを備えており、万一パスワードが第三者に知られてしまった場合でも、悪意のあるログインを自動的にブロックするシステムを多数採用しています。加えて、G Suite 製品をご利用いただいている法人の管理者の皆様に向け、Google が自社内で社員用アカウントに利用している Security Keys を含む複数の 2 段階認証 (2SV) オプションも提供しています。

Google は、法人のお客様のセキュリティを最重要視しており、アカウントのセキュリティに関する技術の向上に注力しています。本事案については、自社ならびにお客様の求める基準に達しない点があったことを深くお詫びするとともに、今後同様の不具合が発生することのないよう尽力して参ります。