iPhoneでKaspersky Password Manager（KPM）をしばらく使っているなら、新しいパスワードを生成する必要があるかもしれません。セキュリティ研究者が2つの脆弱性を発見しました。この脆弱性により、攻撃者はわずか100個のパスワードを試せばあなたのパスワードを見つけられる可能性があります…

更新：カスペルスキー社は、この欠陥に関する公式声明を発表しました。

カスペルスキーは、カスペルスキー パスワードマネージャーのセキュリティ問題を修正しました。この脆弱性により、攻撃者がツールで生成されたパスワードを盗み出す可能性がありました。この問題は、攻撃者がユーザーのアカウント情報とパスワードが生成された正確な時刻を把握しているという、稀な状況でのみ発生しました。また、標的のユーザーはパスワードの複雑さの設定を下げる必要もありました。

同社は製品の修正プログラムをリリースし、ツールによって生成された特定のパスワードが脆弱である可能性があり変更が必要な場合にユーザーに通知するメカニズムを組み込んだ。

ユーザーの皆様には最新のアップデートをインストールしていただくようお願いいたします。アップデートをより簡単に受け取れるよう、ホーム向け製品は自動アップデートに対応しています。

この欠陥は、2019 年 10 月までに生成されたパスワードに存在していました。

ZDNetによると、問題は2つあったという。主なものは、アプリが時間をシード値として使用していたことだ。

しかし、KPM が犯した大きな間違いは、メルセンヌ ツイスター疑似乱数ジェネレータのシードとして、現在のシステム時間を秒単位で使用したことでした。

「これは、世界中のカスペルスキー パスワード マネージャーのすべてのインスタンスが、特定の瞬間にまったく同じパスワードを生成することを意味します」とジャン=バティスト ベドルン氏は述べた。

このプログラムにはパスワード作成時に1秒以上かかるアニメーションがあるため、この問題が発見されなかった可能性があるとベドルン氏は述べた。

「結果は明らかに悪い。あらゆるパスワードが総当たり攻撃される可能性がある」と彼は語った。

「例えば、2010年から2021年の間には315619200秒あるので、KPMは特定の文字セットに対して最大315619200個のパスワードを生成できます。総当たり攻撃には数分かかります。」

ベドルン氏は、サイトがアカウント作成時間を表示することが多いため、KPM ユーザーは約 100 個のパスワードに対するブルートフォース攻撃に対して脆弱になると付け加えた。

(皮肉なことに、コード内のバグにより、場合によっては問題を軽減する追加の変数が導入されることになりました。)

2つ目の欠陥は、実際にはそれほど問題にならない可能性が低かった。これは、KPMを使用していることを知っている攻撃者にのみ有効だったからだ。辞書攻撃を阻止するため、KPMは「qz」や「zr」のように、単語には見られない文字の組み合わせを使ったパスワードを生成した。問題は、攻撃者がKPMを使用していることを知っていれば、これらの組み合わせを使ったブルートフォース攻撃を仕掛けることができ、標準的な辞書攻撃よりも短時間で済む可能性があることだ。

カスペルスキーはこれらの問題を認め、新しいロジックを適用したと述べています。ただし、2019年10月以前にKPMを使用していた場合は、パスワードを変更することをお勧めします。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。