【転載】付箋紙でPCに張り付けたパスワードが全国放送される

パスワードが全国放送される時代:

オーストラリアで最も高い評価を受けるテレビ局、7News Australiaはどうやら意図せず自身のパスワードを放送してしまった様です。

grahamcluley.com

ズームビデオチャットを介して行われた放送インタビュー中に、カメラマンは間違いなく、彼または彼女が記者の肩越しに驚くべき角度を向けていることを想像しました。

ただし、残念なことに、このビューではインタビュー対象者が画面に表示されただけでなく、ログイン認証情報が詰まったモニターも表示されていました。

画像を拡大すると、CanberraニュースチームのGmailアカウントとZoomアカウントのように見えるものの詳細を含め、多くのユーザーIDとパスワードのように見えるものがわかります。

繰り返しますが、パスワードをコンピュータの画面に貼り付けるのは良い考えではありません。次に、それらのパスワードをテレビのニュースレポートで放送することはさらに悪いことです。

（Graham Cluley記事より引用）※機械翻訳

キタきつねの所感

Zoomでのインタビューでインタビュワー（7News側）の画面を映したカットには、どうやら見えてはいけないものが映っていた様です。

@7NewsAustralia I’d be changing passwords????? Isn’t this a security issue. @3AW693 @heidimur. Zoom in to the top corner then top right pic.twitter.com/HknnoGWd7Z
— Lee Meadows (@lee_mead) August 9, 2020

「パスワードを付箋紙で貼るな」は、パスワード管理の初歩中の初歩だと思いますが、テレビ局のインタビューワー、カメラマン、ディレクターは、「当たり前の風景」すぎて何も違和感がなかったのだと思います。

一部マスキングした上で写真を拡大してみますが、、、IDとパスワードがほぼ解読できます。

画面の上にはIDとパスワードらしきものが２つ貼られています。左側は内部ネットワーク用と思われる（端末ログイン用かと推測）IDとパスですが、IDとパスがまったく同じです。ID（Username）から推測すると、部署の共通アカウントの様にも見えます。

画面右側はGmailアカウントです。アカウントは一部カメラで切れていますが、パスワードは容易に推測できる安易なものが設定されている様です。

f:id:foxcafelate:20200820054029p:plain

既にこのIDとパスワードの組み合わせは、Twitter上では検証がされていました。しかし、2要素認証が設定されていた様で、Googleがブロックした画像が貼られていました。

f:id:foxcafelate:20200820060533p:plain

画面の下側にも、 IDとパスワードらしきものが貼られています。グラハム氏の記事ではGmailとZoomアカウントらしきものが見えると書かれていましたので、恐らくこちらがZoom用だと思われます。

念のため一部マスキングしますが、こちらも単純なパスワードの様に見受けられました。このZoomアカウントは取材等でも使われるものかと思いますので、この程度のパスワード複雑性である事に怖さを感じます。

f:id:foxcafelate:20200820061008p:plain

もう１つ見つけました。モニターの右側も有効に使っていた様です。こちらは内部ネットワーク向けIDだと思われます。

f:id:foxcafelate:20200820055927p:plain

テレビ局の内部システムに侵入しようと考えているハッカー（APT）であれば、こうした断片的な情報も内部侵害のヒントの１つになるかと思います。

また、そもそもこうしたパスワードの単純さから考えると、システム管理者ですらAdmin/Adminレベルのパスワードである事が推測できますので、7News Australiaは、今回の意図しない認証情報漏えいを機に、認証管理を徹底的に見直すと共に、従業員教育も再実施すべきだと思います。

余談です。セキュリティコンサルをやっていると、視察でパスワードが貼られている事を見つけてしまう事も結構あります。

こうして「大胆に」パスワードをモニター画面に貼るケースだけでなく、キーボードやマウスパッドの裏に見かけるケースもあります。その他、付箋紙ソフトでWindowsを立ち上げたら出てくるケースや、パスワードが掛かってないpasswordファイルがデスクトップに分かりやすく置かれているケースもあります。セキュリティ内部監査などをやられている方は、チェックポイントに入れておくと良いかと思います。

こうしたパスワードを張り付ける事は（担当としては）楽ですが、セキュリティ観点では危険としか言えず、いつか事故が発生する可能性は高いと思います。パスワードは、パスワード管理ソフトを利用や、（肌身離さず持っている）手帳を使って管理する方が良いかと思います。

しかし最も重要なのは、容易に推測できるパスワードを使わない事です。（今回の7News Australiaのケースでは、パスワード強度が相当低いものと見受けました）

参考：■日本人のためのパスワード2.0 ※JPAC様ホームページ