カスペルスキーパスワードマネージャーは簡単に解読できるパスワードを生成した

セキュリティ研究者らは、カスペルスキーが2019年のアップデート以前に現在の時刻を使用してパスワードを生成していたため、パスワードが簡単に解読される状態になっていたことを明らかにした。

パスワードジェネレータは必ずしも完全にランダムではありません。完全にランダムなシーケンスの中にも、脆弱なパスワードが含まれる可能性があるからです。しかし、カスペルスキーは、強力なパスワードを生成するために複数のロジックを使用するのではなく、現在の時刻のみを使用して生成したパスワードを決定していました。

ZDNetは、Ledger Donjonが行った調査を共有し、この種のロジックを用いてパスワードを生成することの問題点を説明しています。調査によると、世界中のすべてのKasperskyインスタンスが、特定の瞬間に同じパスワードを生成することになるとのことです。

「攻撃者がKPMを使用している人物を知っている場合、完全にランダムなパスワードよりもはるかに簡単にパスワードを破ることができます」と、レジャー・ドンジョンの主任セキュリティ研究者は述べています。「しかしながら、ツールで破られないほど強力な、十分に長いランダムなパスワードを生成することをお勧めします。」

つまり、ユーザーのアカウントをハッキングしようとする者は、アカウントがいつ作成されたか、そしてカスペルスキー パスワードマネージャーが使用されたかどうかさえ知っていれば、作成されたパスワードはすべて簡単に総当たり攻撃で解読できるのです。

「例えば、2010年から2021年の間には315619200秒あるので、KPMは特定の文字セットに対して最大315619200個のパスワードを生成できる」と研究者は続けた。「総当たり攻撃には数分かかる。」

Windows の 9.0.2 Patch F より前の KPM バージョン、Android の 9.2.14.872、または iOS の 9.2.14.31 が影響を受けました。

カスペルスキーは2019年6月にこの脆弱性について報告を受け、同年10月に新しいパスワードロジックを用いた修正プログラムをリリースしました。新しいバージョンをご利用のユーザーは、脆弱な可能性のあるパスワードを更新することをお勧めしますが、2019年10月以前に作成されたパスワードは危険にさらされる可能性があります。

カスペルスキー社は、この件についてAppleInsiderに声明を 出した。

カスペルスキーは、カスペルスキー パスワード マネージャーのセキュリティ問題を修正しました。この脆弱性により、攻撃者がツールで生成されたパスワードを盗み出す可能性がありました。この問題は、攻撃者がユーザーのアカウント情報とパスワードが生成された正確な時刻を知っているという、稀な状況でのみ発生する可能性があります。また、攻撃対象者はパスワードの複雑さの設定を下げる必要があります。

同社は製品の修正プログラムをリリースし、ツールによって生成された特定のパスワードが脆弱である可能性があり変更が必要な場合にユーザーに通知するメカニズムを組み込んだ。

ユーザーの皆様には最新のアップデートをインストールしていただくようお願いいたします。アップデートをより簡単に受け取れるよう、ホーム向け製品は自動アップデートをサポートしています。

毎週配信のAppleInsider PodcastでAppleの最新情報をチェックしましょう。AppleInsider Dailyからも最新ニュースをいち早くお届けします。HomePod miniに「Hey Siri」と話しかけ、これらのポッドキャストや最新のHomeKit Insiderエピソードをリクエストしてください。

広告なしのメインの AppleInsider Podcast を体験したい場合は、Apple の Podcast アプリから月額 5 ドルで購読するか、他の Podcast プレーヤーをご希望の場合は Patreon 経由で購読することで、AppleInsider Podcast をサポートできます。