Google Internet HijackingGoogleは5月21日(現地時間)、一部のG Suiteユーザーのパスワードを暗号化せずに平文で保存していたと報告しました。対象は主に企業で利用されるG Suiteのみで、一般のGoogleアカウントには影響しません。なお、具体的にどれだけのユーザーが影響を受けたのかは、明かされていません。

パスワードを暗号化せず、平文のまま保存していた不具合は、最近ではFacebookで見つかっているほか、2018年にはTwitterでも発生していました。


今回の平文保存の発生は、2005年までさかのぼります。Googleは、G Suiteの管理ユーザーらがパスワードの手動設定や回復を行うツールを2005年に提供開始。この実装にバグがあり、管理コンソールに暗号化されないパスワードのコピーが保存されていたとのことです。なお、このツールは現在利用不可となっています。

また、これとは別に、2019年1月からG Suiteの新規サインアップ時に、平文パスワードを最大で14日間保存していたのが見つかっています。

いずれの問題もすでに修正済みで、不正アクセスや悪用の証拠は見つかっていませんが、対象となったG Suite管理者に対して、パスワード変更をするよう通知したとのこと。また、変更を行わない場合にはGoogleにおりアカウントリセットを実施するとしています。

今回のようなケースだと、ユーザーは注意のしようがありませんが、セキュリティキーなどの2段階認証を用いれば、たとえパスワードが漏れたとしても安全性を高めることは可能です。