パスワードを忘れた? アカウント作成
13847457 story
セキュリティ

複数のパスワード管理ツールでメモリスキャンによってパスワードを読み取れる問題があるとの指摘 63

ストーリー by hylom
スキャンされる状況になったらもうヤバいのは確か 部門より
あるAnonymous Coward曰く、

複数のパスワード管理ツールに脆弱性があり、パスワードを盗み出す攻撃が可能という調査結果が発表された(ITmediaZDNetSlashdot)。

この調査結果によると、「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」といったパスワード管理ツールで、それぞれを起動させた状態でメモリをスキャンすることで生パスワードを取得できる可能性があるという。

一方でこれらツールを提供する4社「この問題を解決すれば、もっと大きなセキュリティリスクが発生する」「この問題による現実的な脅威は限られている」などと反論しているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • たいとるおんりー

    外部からのメモリスキャンを許してる時点で、やりたい放題されているも同然なわけで、対応することで別のリスクが存在するのであればそりゃあ無視されるだろうとしか……。

    • パスワード管理ソフトの中身を抜くことができると「そのマシンに対してやりたい放題」から「管理ソフトに保存されてるアカウントなどにもやりたい放題」に被害レベルが上がるよ。

      あと、画面に表示したりする以上はメモリ上に平文のパスワードが存在することを完全に避けるのは難しい。
      このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。
      「マスターパスワードを復号鍵の一部として使うようにしろよ」ってことだろうね。
      そうすれば「そのマシンにやりたい放題になってもマスターパスワードがわからないと管理ソフトの情報にはアクセスできない」となるから。

      まあデスクトップにマスターパスワードを書いたテキストファイルを置いてる人には同じことだけど。

      --
      うじゃうじゃ
      親コメント
      • > このセキュリティコンサルタントが指摘してるのは「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」という点。

        違う。
        元のレポートにはマスターパスワード入力後にロックした場合しか指摘されていない。
        ITmediaの記事だけにマスターパスワード入力前云々と書かれていることから、そこの記者が記事にするときに紛れ込んだものと思われる。

        原典にあたらずに翻訳記事だけ見て書き込むなら、このセキュリティコンサルタントが〜みたいにさも原典を確認したかのように書くのではなく、ソースすら確認していない孫引きのコメントだとわかるように書いて欲しい。

        親コメント
      • >「ソフトを立ち上げただけで、マスターパスワードを入力する前の状態でも読み取れる」

        さすがにソフトを立ち上げただけでマスターパスワードを入力してもいない状態からパスワードが漏洩することはない。
        それはパスワードファイルそのものに脆弱性があるということを意味するが、元記事ではパスワードファイル自体はどのアプリでも適切に暗号化されており、brute forceで破られるリスクは低いと結論づけている。

        実際に指摘されている問題は、一度アプリを立ち上げて「マスターパスワードを入力した後に」起こるもの。
        1) マスターパスワードからファイルの解読キーを生成した後、平文のマスターパスワードをすぐ破棄せずにメモリに残しているアプリがある。
        2) パスワードはユーザーが現在閲覧中のものしか平文でメモリに置いておく必要はなく、古いのはすぐ破棄すべきだが、閲覧したもの全てが残っている場合が多く、ひどいのはファイル内のものをいきなり全部解読してしまうものがある。
        3) アプリを落とさずにロックを掛けた場合、マスターパスワード、解読キー、解読したパスワードをすべてメモリから消去しアプリを立ち上げたばかりと同じ状態に戻すべきなのに、それをしていないアプリが多い。

        親コメント
      • by Anonymous Coward

        他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、
        そうであれば「管理ソフトに保存されてるアカウントなどにもやりたい放題」なんてもんじゃなく
        キーロガー仕込まれてやりたい放題とかそのレベルの話になる
        変な話、パスワード管理ツールで管理してないのも漏れる。
        管理ツールから漏れて攻撃者にラッキーなのは、サービスとアカウントを一括取得できるというところ。
        これは確かにデカいが、マスタパスワードはそこそこの頻度で入力するだろうからキーロガーでも取得できる
        結局のところ管理ツールに脆弱性がなくても、メモリスキャンされるような状況なら一網打尽にされる
        テキストファイルおいてりゃ同じ、ではない

        • by Anonymous Coward
          管理者権限でメモリスキャンが必要な事にしたい奴がいるみたいだな
          #後苦労様
          • by Anonymous Coward
            /proc/pid/memは600だからrootしか読めないよ
        • by Anonymous Coward

          他アプリのメモリをスキャンできる以上は管理者権限相当でその悪意あるソフトは動いているわけで、

          は?
          Medium integrity levelのプロセスはMedium integrity levelとそれ以下のプロセス読めるし

          • by Anonymous Coward

            WILはよく知らんのだがMidium同士なら他アプリのメモリの中身も見れるもんなの?

            • by Anonymous Coward

              読めます
              それがWindows 3.1の伝統です
              なんでもできる過去との互換維持のWindowsの自由度をなめないでいただきたい

              逆にいうと過去のアプリ資産がWindowsの最大の魅力でそれを捨てるわけにはいかない

              他のアプリのメモリ弄れなくなったら、例えばゲームの非公式MODみたいのも動かなくなって困る人大勢いるよ

            • by Anonymous Coward

              > WILはよく知らんのだがMidium同士なら他アプリのメモリの中身も見れるもんなの?

              WILって、WINのtypeだよね?

              Win32APIを使って動的に他プロセスのプロセスメモリを書き換える方法
              http://peryaudo.hatenablog.com/entry/20100516/1273998518 [hatenablog.com]

              Linuxは知らないからよく分からないけど、Linuxでもユーザhogeが実行しているアプリのメモリ領域を、ユーザhogeの他のアプリから読み書きできないの?
              普通同じユーザなら好き勝手にできるから、空間を分離させたかったら他のユーザにするもんなんじゃないの?

    • by Anonymous Coward

      メモリスキャンされてることはありうることとして(警察による押収とか)、
      そもそも、生データがメモリ上に存在している=マスターキーで開錠済みってことでの反論だと思うけど。

      • by Anonymous Coward

        警察に押収された場合、パスワードアプリが起動している状態でスクリーンロックが外れているならメモリスキャンするまでもなく普通にアプリを操作してパスワードを読み取ることが出来るし、そうでない場合は管理者権限を取得出来るアカウントのパスワードも一緒に押収しないとそもそもメモリスキャンなどが出来ない。

        なので、たしかに現実的な脅威は限られているとしか思えない。

    • by Anonymous Coward

      ほんとこれ
      そもそもDOSやWindows 9x時代ならいざ知らず、ALSR常識かつそこらのPCですら64GBとか積んでるこの時代にメモリスキャンって・・・
      それを脆弱性と呼ぶのなら、かのOpenSSHですら脆弱性だらけになりますわ

    • by Anonymous Coward

      それですね!
      そこまでの情況を想定するなら、もっと大きな問題だと思う。

      ISEはパスワード管理ソフトの使用は推奨していて、用が済んだらアプリケーションを終了すべきだということを提案しているんだけど・・・
      でも、発表の仕方に問題がある気がしますね。

      「アクティブウィンドウでなくなってから15秒放置されたら自動終了」するアプリにしろとか、そういう事を言いたいのか。
      それとも、ユーザーに対して、都度終了する運用を喚起せよと言いたいのか。

  • 複数のパスワード管理ツールにて
    現状、脆弱性により「パスワードを盗み出す攻撃が可能」
    脆弱性を解決すると「もっと大きなセキュリティリスクが発生する」

    ということは
    パスワード管理ツールを使わないほうが安全ってこと?

    • あえてその方向性に乗るなら「パスワード管理ツールは、ホントはOSの外に切り出すべきだよね」ですかね。私のおすすめはパスワード管理ツールによる人間の頭では暗記不能なほど強固なパスワードと、FIDO U2Fトークンなどの多要素認証の組み合わせですね。

      パスワード管理ツールを使わずに、記号とかで複雑にしたつもりだけどやっぱり暗記できるくらい簡単なパスワードでがんばる、というのはもう無理です。

      親コメント
    • by Anonymous Coward on 2019年02月26日 14時21分 (#3571416)

      無関係な事項を書き連ねる際に「ということは」で繋ぐのは適切ではありません。

      親コメント
    • by Anonymous Coward on 2019年02月26日 14時45分 (#3571433)

      現状の脆弱性によるリスク < 解決によって生じるリスク、は記事から言える。
      現状の脆弱性があるパスワードマネージャを使うリスクと、使わないでパスワードを管理するリスクの比較が、どこにも書いてない。
      つまり「ということは」は論理的に導き出せない。

      個人的には #3571406 の人も言ってるようにメモリスキャンが出来るという前提条件がそもそも難しい条件っていうか詰んでるので、そら現実的な驚異は限られているだろとしか思えない

      親コメント
    • by Anonymous Coward

      昔から、「卵は一つのカゴに盛るな」って言いますが、
      「パスワード管理ツール」 って、まさに一つのカゴですから
      昔から使う気になれませんでしたが
      やっぱりねぇ

      • by bPMb5 (48587) on 2019年02月26日 15時09分 (#3571446)
        あなたの頭 = 一つのカゴ、な
        親コメント
      • by Anonymous Coward

        複数のパスワード管理ツールを使えばいいのでは?

        • by Anonymous Coward

          あのパスワードはどのパスワード管理ツールに保管していたっけ? ってなりそう

          • 自分は、銀行系とそれ以外で分けてる。

            --
            svn-init() {
              svnadmin create .svnrepo
              svn checkout file://$PWD/.svnrepo .
            }
            親コメント
          • by Anonymous Coward

            あのパスワードがどこにあるか管理するメインのパスワード管理ツールAと
            偶数桁の暗号化済みパスワードを管理するパスワード管理ツールBと
            奇数桁の暗号化済みパスワードを管理するパスワード管理ツールCと
            パスワードの暗号を解除するパスワード管理ツールDと

            ...etc

    • by Anonymous Coward

      元記事ではたとえ問題があろうがパスワード管理ツールを使えつってんだがな

      • by Anonymous Coward

        今はそうだろうね……

        生体認証が安定してパスワードが根本的に不要になるのと、「パスワード管理ツールは使うな、でも記号なども含む十分に強度のあるパスワードをサービスごとに個別に設定しろ」がセキュリティーの常識(笑)になるの、どちらが先なんだろうなぁ。

        • by Anonymous Coward

          変更の効かない生体認証がパスワードに代わることはありえない。
          現実的には、今回でいうマスターパスワード部分を生体認証にする(TouchIDなどで実現済みだが)だろうけど、
          それでも中のデータ、実際の個別のパスワードは今回同様のリスクを抱える。

          生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。
          しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。

          • 替わることがないという認識は正しいです。生体認証は替えが利かないということもありますが、認証であって認可(承認)ではないという問題もあります。本人だってNAKしたいときはある。

            # ちなみに、Touch IDはパスワード認証です。まず正しいパスワードが必要で、その後はタイムアウト期間内に限り指紋で認証ができるしくみです。
            # シャットダウンを挟んだり、電源ボタン長押し(X/XS/XRでは電源+ボリューム長押し)すると認証が解除され、パスワード再入力が必要になります。

            成功するかどうかは別にして、それ自体をSYHにすると切り取って盗もうとしたりする輩も出ますし。セキュリティは完璧を求めるものではなくリスク評価とのバランスが重要……って誰かが言ってた。

            親コメント
          • 生体認証をそのままパスワード代替にするってことは、すべてのサービスでパスワードを使い回すに等しい。 しかもそれを変更ができない。どうせどこかが漏らすから人生終わる。

            こいつド素人だなw

          • by Anonymous Coward

            漏れた特徴データから指紋や網膜を再構成するのは難しいのではないだろうか。
            とはいっても本人から盗まれたら困っとことになるのは間違いない。

    • by Anonymous Coward

      よりセキュリティーを高めるなら、パスワード管理ツールにはパスワードの一部分を入れて、残りはメモ帳に書いておくという運用が良いかもしれない。

      • by kicchy (4711) on 2019年02月26日 19時31分 (#3571657)

        よりセキュリティーを高めるなら、パスワード管理ツールにはパスワードの一部分を入れて、残りはメモ帳に書いておくという運用が良いかもしれない。

        そこまでするんだったらメモ帳なんて使わずに
        「いつも同じフレーズを追加する」でもいいんじゃないの?
        記録という点を気にするなら、メモを金庫に入れておけばいい。

        親コメント
  • パスワード管理ツール (スコア:0, フレームのもと)

    by Anonymous Coward on 2019年02月26日 15時07分 (#3571443)

    起動中のプロセスが使ってるメモリーってLockかかって他のプロセスから読めないと思いますが、スマフォの OS って DOS 並なんでしょうか?
    プロセス終了して開放後のメモリー全体をスキャンするとかなら... 時間はかかるが可能でしょうけど。

    • by Anonymous Coward

      元記事の調査対象
      ・1Password4 for Windows
      Windowsデスクトップアプリケーション
      ・1Password7 for Windows
      Windowsデスクトップアプリケーション
      ・Dashlane for Windows
      Windowsデスクトップアプリケーション
      ・KeePass Password Safe
      Windowsデスクトップアプリケーション
      ・LastPass for Applications
      Windowsデスクトップアプリケーション

      どこからスマフォが出てきたんですか?

    • by Anonymous Coward

      iOSやandroidは知らんけど、WindowsにはReadProcessMemoryとかいうAPIがあります.
      WriteProcessMemoryなんかもあったり.まあ使うには色々条件があるけど.

    • by Anonymous Coward

      root権限で/proc覗き放題になった時点で意味ないよなあ。その時点で他のこともやり放題なわけだがな。
      まあ、最低でも暗号化して、平文のままメモリ上に置いておくなってことだ。

    • by Anonymous Coward

      プロセスが終了してOSに返されたメモリーをどうやって読むおつもりで?
      それこそDOS並みじゃないと出来ないことだろ

  • by Anonymous Coward on 2019年02月26日 16時42分 (#3571535)

    普通のパスワード管理ツールはユーザ権限で動くので、Windowsだと他のユーザ権限のアプリからメモリ内容を読み取れてしまう。

    こういう攻撃は多くのアンチウイルスで防げるが、アプリの動作を妨げないことを重視するWindows Defenderでは防げない。

    例えば、カスペルスキーだとアプリケーションコントロール保護では、他のアプリのメモリ領域でのアクセスで警告・確認画面を出してくれる。
    シグネチャベースじゃなくてメモリ領域へのアクセスの警告なので新種のマルウェアにも有効だ。

    にしても、パスワード管理ツールはサービスとしてインストールさせて、Administrators権限で動くようにすべきだな。無論、そのパスワード管理ツール自体は絶対的に信頼できるものじゃないといけないけど。
    そうすれば、普通のユーザ権限のアプリからメモリ領域にアクセスされる心配がない。

    • by Anonymous Coward

      多くのアンチウイルスで防げる[要出典]

      • by Anonymous Coward

        セキュリティソフトインストールした状態で、自作したアプリから他のプロセスへの侵入を試せばすぐに分かりますよ
        少なくともカスペルスキーのアプリケーションコントロール保護は、ホワイトリストに登録されたアプリ以外だと 他のアプリのメモリ読み取ろうとすると必ず確認出してくる [syszo.com] し、
        NortonのSONAR保護に至っては署名付きでNortonのホワイトリスト登録されたものを除いてそのような挙動のアプリは警告も出さず問答無用でマルウェア判定します

        嘘だと思うならカスペルスキーの試用版インストールして、他のプロセスのメモリへのアクセスを試してみてください。
        ※全般設定の「推奨される処理を自動的に

    • by Anonymous Coward

      ロシア製のソフトを使うよりはましなのでは。

  • by Anonymous Coward on 2019年02月26日 17時06分 (#3571555)
    SecureZeroMemory()でメモリ上に残る生のパスワードを消す。
    メモリ上にパスワードを残したい場合は
    CryptProtectMemory()やCryptProtectData()が便利そうにあるようですけど。
  • by Anonymous Coward on 2019年02月26日 18時01分 (#3571591)

    Mac、iOS、Android版ではどうなのかは触れられていない。
    コードベースがまったく別ってことはないだろうから、やっぱり問題はあるのだろうが。

    # 元記事によると、1Passwordは古いバージョン4より書き直された新しいバージョン7の方がセキュリティが甘いそうな。
    # Windows版 1Password 4はUIがクソだったので極力使いたくないけど。

  • by Anonymous Coward on 2019年02月26日 18時55分 (#3571631)

    意識高い系ブログなどで「これからのパスワード管理はこれだぁ!!(どかーん)」みたいな感じで
    定期的に取り上げられているツール類。むしろリスク高くなるとしか思えないので使わない事に
    してたんですが、某セキュリティソフトにおまけでついてきたのについ手を出してしまったり。
    でまぁ、使えるんですがログインしようとするとクッキー古すぎるからトップから開き直せとか
    毎回おこられたり割としょぼい感じで。無料なので使ってますけども。

    • by shimpei (1499) on 2019年02月26日 22時27分 (#3571790)

      自分自身にプライドを持てないから、プライド持ってそうな人を意識高い系と貶めないと自我が崩壊しちゃう系の人なのですね。可哀想になあ。

      親コメント
typodupeerror

人生unstable -- あるハッカー

読み込み中...