piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた

2019年5月21日、GoogleはG Suiteに保存されたパスワードの一部に問題(ハッシュ化が行われていなかった)が確認されたとして利用者へ案内を行っています。ここでは関連する情報をまとめます。

Googleの発表

cloud.google.com

  • この問題の影響はビジネス向け利用者(G Suite ユーザー)が対象。
  • 無料のGoogle アカウントへの影響はない。
  • 2つの問題が確認され、いずれも修正されている。
  • 問題を悪用した兆候は確認されていない。
確認された2つの問題
No 発生原因 保存内容 影響期間
問題① 管理コンソールのパスワード設定・復元機能バグ パスワード平文のコピー 2005年以降
(問題のツールは削除済)
問題② ユーザーサインアップ時の暗号化された内部システムへの誤保存 パスワード平文の一部 2019年1月以降
(保存は最大14日間)
  • Googleは問題①を2019年4月に確認。
  • さらに問題①の対応中に問題②の不具合を2019年5月に確認。
  • それぞれの問題の影響を受けたユーザー数は不明。
  • Googleはデータ保護当局へこの問題を報告済み。*1

強制リセットの案内

  • G Suiteの管理者宛にこの問題に対する連絡が行われている。
  • メールは日本時間で2019年5月21日 6時頃に届いたとみられる。
  • 影響を受けた問題に応じた文面で通知される。確認した範囲では英文のみ。
  • メールの件名は「Google Customer Alert」
  • 問題①の影響を受けた場合は以下の対応が案内されている。
対象 強制リセット予定日 対応内容
シングルサインオンユーザー 2019年5月22日 パスワードをランダムな文字列に変更しリセットする。
他のユーザー、管理者 2019年5月29日 5月22日にセッションを終了させ、次回ログイン時にパスワード変更を案内。
29日までにパスワード変更が行われていない場合は強制リセット。(管理者を除く)
  • 問題②の影響を受けた場合は、ユーザーの種別関係なしに22日にログアウト、29日までに対応が取られない場合は強制リセットの措置が取られる。
問題①の影響を受けた場合

Dear G Suite Administrator,

We are writing to inform you that due to legacy functionality that enabled customer Domain Admins to view passwords, some of your users' passwords were stored in our encrypted systems in an unhashed format. This primarily impacted system generated or admin generated passwords intended for one-time use.

We have reviewed the login information for the user account(s) and have found no evidence that the unhashed passwords were misused.

The following is the list of users impacted in your domain(s):

(影響を受けたアカウントのメールアドレス)

Google Planned Action: for your security, starting tomorrow Wednesday May 22, 2019 PT we will force a password change unless it has already been changed prior to that time.

Our password update methodology is as follows:

Users With Single Sign On: We will reset their password by changing it to a randomly generated secure value. Please note that this will have no effect on their ability to log in using their Single Sign On credentials.
Other Users and Super Admins: We will terminate their sessions and prompt users to change their password at their next login.
In addition, starting Wednesday, May 29, 2019 PT we will reset the password for users that have not yet selected a new password or have not had a password reset. These users will need to follow your organization's password recovery process. Super Admins will not be impacted. For information on password recovery options please refer to the following Help Center Article.

For further questions please contact Google Support and reference issue number *********.

Sincerely,

The G Suite Team

問題②の影響を受けた場合

Dear G Suite Administrator,

We are writing to inform you that between January 13, 2019 and May 9, 2019, an internal system that logged account signup information for diagnostic purposes, inadvertently stored one of your user account passwords in our encrypted systems in an unhashed format. This impacted the user account password provided during the initial account signup process. The log information was retained for 14 days following the signup process, and then was deleted according to our normal retention policies.

We have reviewed the login information for the account and have found no evidence that the unhashed password was misused.

The following is the user account impacted in your domain(s):

(影響を受けたアカウントのメールアドレス)

Google Planned Action: for your security, starting tomorrow Wednesday, May 22, 2019 PT we will force a password change unless it has already been changed prior to that time.

Our password update methodology is as follows:

We will terminate the impacted user’s session and prompt the user to change their password at their next login.

In addition, starting Wednesday, May 29, 2019 PT we will reset the password for the user if they have not yet selected a new password or have not had a password reset. This user will need to follow your organization’s password recovery process. However, Super Admins will not be impacted. For information on password recovery options please refer to the following Help Center Article.

For further questions please contact Google Support and reference issue number *********.

Sincerely,

The G Suite Team

更新履歴

  • 2019年5月21日 PM 新規作成