FirefoxとThunderbirdの「マスターパスワード」は1分で破ることが可能と指摘される

MozillaのウェブブラウザFirefoxとメールクライアントThunderbirdには、セキュリティを向上するという目的で、「マスターパスワード」という機能があります。この機能は、あらかじめソフトウェアのアカウント毎に設定しておいた個別パスワード「マスターパスワード」を入力しないと、ソフトウェアの動作を制限するというものです。しかし、このマスターパスワードによるセキュリティの向上に疑問を持っている専門家がいるとBleepingComputer.comが伝えています。

Wladimir Palant's notes: Master password in Firefox or Thunderbird? Do not bother!
https://palant.de/2018/03/10/master-password-in-firefox-or-thunderbird-do-not-bother

Firefox Master Password System Has Been Poorly Secured for the Past 9 Years
https://www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/

マスターパスワードによるセキュリティに疑問を示しているのは、ソフトウェア開発者でFirefoxのアドオンAdblock Plusの作者でもあるWladimir Palant氏です。両ソフトウェアでは、マスターパスワードを設定するとその文字列は簡単に読み取られないよう暗号化され、「logins.json」というファイルに作成・保存されます。しかし、Palant氏がソースコードを解析したところ、暗号化には、SHA-1というアルゴリズムを使用されていることがわかります。SHA-1で暗号に変換する機能部分「sftkdb_passwordToKey()」を見つけることができ、この部分を逆算する事により暗号化の安全性が非常に低くなってしまう、という弱点があるとのこと。そのため、マスターパスワードを使用しても安全はあまり向上しないだろうと主張しています。

通常ではマスターパスワードのSHA-1を使った暗号化は、安全性は低くはないとのこと。しかし、この弱点を突くとSHA-1の暗号化は強度が低くなり、特にブルートフォース攻撃の解析に弱いとPalant氏は指摘。ゲーミングPCに使用されているGPUのNVIDIA GTX 1080を搭載したPCでパスワードを解析していくと、平均してたった「約1分」で正解のマスターパスワードを見つけることが可能と主張しています。

そして、Palant氏によると、このセキュリティの脆弱(ぜいじゃく)な点を指摘したのはPalant氏が初めてではないとのこと。この両ソフトウェアの弱点は9年前にJustin Dolske氏が開発を行っているMozillaに対して暗号化が弱いと警告しています。しかし、Mozillaは9年間この弱点を放置していたとPalant氏は主張。

By Sarah Joy

IT系情報サイトBleepingComputer.comによると、今回の弱点の指摘とは別に、2018年3月10日にMozillaのエンジニアがFirefoxのマスターパスワードセキュリティを向上するアドオンLockboxを試験的に公開しています。ただし、LockboxはFirefox57以上のみで動作するとのこと。

BleepingComputer.comによると、マスターパスワードを使用しないよりは、使用した方がセキュリティが向上するものの、FirefoxとThunderbirdからパスワードを漏らしたくない場合には、両ソフトウェアのローカル上にパスワードを保存せず、サードパーティー製のパスワード管理ソフトを使うことを薦めています。