G Suite をご利用されているお客様の未ハッシュ化パスワードの保管についてのお知らせ

Google では、ユーザーのセキュリティを確保するため、パスワードを保存する際は暗号学的ハッシュ関数を用いることをポリシーとしています。しかしながら、この度、一部の法人向け G Suite のお客様に対して、ユーザーのパスワードがハッシュ化されない状態で、暗号化された社内システム内に保管されていた旨をお知らせいたしました。本件は、法人向けの G Suite ユーザーのみに影響を与えるものであり、無償で提供している一般向けの Google アカウントのユーザーに影響はありません。法人向け G Suite の管理者の皆様にはすでに、社員に対してパスワードのリセットを実施いただくようご案内致しています。また同時に、本件に関して徹底した調査も実施し、現時点で G Suite 認証情報に対する不正なアクセス、および誤用の形跡はありませんでした。

一般ユーザーおよび G Suite 法人ユーザーのGoogleでのパスワードの保存方法

ハッシュ関数の有効性は不可逆変換にあります。パスワードを暗号化するのは簡単ですが、暗号化したものを元の状態に戻すのはほぼ不可能です。そのため、仮に第三者が暗号化されたパスワードを入手しても、それを元に実際のパスワードを復元することはできません。このパスワードのハッシュ化のマイナス面は、ユーザーがパスワードを忘れた場合でも正しいパスワードを伝えることができないため、以前のパスワードをリセットして、一度だけしか使えない仮パスワードを発行したうえで、新しいパスワードを設定する以外に方法がないという点です。

法人向け G Suite アカウント

G Suite Enterprise アカウントで発生した問題

この件とは別に、G Suite の新規ユーザーサインアップフローに関する変更をおこなっていたところ、2019 年 1 月よりハッシュ化されていないパスワードの一部を誤って保存しているという事案が判明しました。これらのパスワードは最大 14 日間、 Google の暗号化されたセキュアなインフラストラクチャー内に保管されていました。この問題に関しても、現在すでに修正済みであり、不正アクセスや誤用の形跡は認められていません。なお、これらが個別の事案であることを確認するため、Google ではセキュリティ監査を継続して参ります。

この問題による影響について

Google は、法人のお客様のセキュリティを最重要視しており、アカウントのセキュリティに関する技術の向上に注力しています。本事案については、自社ならびにお客様の求める基準に達しない点があったことを深くお詫びするとともに、今後同様の不具合が発生することのないよう尽力して参ります。