世界中に多数のユーザーがいるパスワード管理ツール「1Password」において、保存しているログイン情報の一部が暗号化されず、平文で確認することができ、漏洩する可能性があると指摘されたDale Myers氏の指摘について、開発元のAgileBitsが公式にコメントを発表しました。
AgileBits、「問題のある旧形式から新形式「OPVault」への自動移行を計画している」
1Passwordでは、ログイン情報などを保存する「保管庫」のフォーマットに「Agile Keychain」を採用しています。Dale氏の指摘は、Agile Keychainを利用時にDropboxなどを使って保管庫を他のデバイスと同期すると個人情報が漏洩する可能性があるというもの。
これに対し、AgileBitsはDale氏が指摘したAgile Keychainの脆弱性を認めた上で対処済みのOPVaultを提供しているとコメントしました。
AgileBitsによれば、異なるデバイス間でログイン情報を同期するために「Agile Keychain」を2008年に導入。ただ、ログイン検索など単純な処理でもパフォーマンスやバッテリーの消耗に関する問題を引き起こすため、ログイン情報のタイトルやURLなどのメタデータの一部を暗号化しないことを決めたとのこと。まさにここがDale氏が指摘しているところです。
ただ、2012年に問題とされていたメタデータの暗号化も行い、暗号化以外の部分でも多くの改善を行うことで、より強固なフォーマットになった「OPVault」の提供を開始。
OPVaultの導入に伴って互換性の問題が出てきますが、iOSやMac、iCloudなどでは問題はなし。一方、WindowsやAndroid、Dropboxを使った同期に関しては、Agile KeychainからOPVaultへの移行または旧バージョンの1Passwordに互換性を持たせる必要があったようです。
検討した結果、Agile KeychainからOPVaultへ強制的に移行させることは選択せず、Agile Keychainを継続利用させるよう保守的な対応を行ったとのこと。
AgileBitsは将来的にAgile KeychainからOPVaultへ完全移行させる予定で、現在はWindowsユーザー向けに提供しているベータ版ではOPVaultがデフォルトになっているとのこと。
iOSやMacにおいてもOPVaultがデフォルトになる予定で、Dropbox同期においてAgile Keychainしか選択できないAndroidでも新しいフォーマット(おそらくOPVault)を採用する計画があることを明らかにしています。
さらに、これらの計画がすべて完了したのち、問題のあるAgile KeychainからOPVaultへの自動移行を行うとしています。
Dale氏の指摘記事は「1Password Leaks Your Data」というセンセーショナルなタイトルであったために大きな注目を集めました。記事内では脆弱性を指摘したところAgileBitsからは「仕様だ」と一蹴されたと経緯も紹介されており、より不安を煽るものになっていました。
「仕様だ」と一蹴したAgileBitsに対して、非常を訴えるユーザーも多数いましたが、今回の問題でAgileBitsが特別な対応を取る方針でないことが今回の公式コメントから受け取れます。とりあえずは「OPVaultの自動移行準備が完了するまで待て」ということです。
ただ、AgileBitsは手動でOPVaultに移行する方法も提供しています。OPVaultへの自動移行は数日後に提供されるものではなさそうなので、不安な方は以下のエントリを参考にOPVaultへ移行することをオススメすます。
コメントを残す