やじうまWatch
パスワードマネージャー「KeePass」、マスターパスワードを回復できる脆弱性。修正版リリースは数週間先?
2023年5月23日 12:00
パスワードマネージャーアプリ「KeePass」に重大な脆弱性があるとして、海外のセキュリティベンダーが注意を呼び掛けている。
米セキュリティベンダーのMalwarebytesによると、KeePass 2.54より前のバージョンのKeePass 2.xにおいて、最初の1文字を除くマスターパスワードをメモリダンプから回復できる脆弱性があり、パスワードやユーザー名などを収めたデータベースの読み取りにつながりかねないという。システムのメモリダンプをリモートで入手するのは困難とはいえ、捜査などの名目でシステムごと没収されるようなケースでは不可能ではないことから、MalwarebytesではKeePassの利用者に注意を呼び掛けるとともに、認証デバイス「YubiKey」の併用などの対策を推奨している。ちなみにこの件はKeePassの開発者にもすでに報告されており、これを修正するための機能強化の開発がすでに完了しているという。しかし、別の脆弱性の修正にも取り組んでいることから、この機能強化が含まれるKeePass 2.54のリリースまでには数週間かかる見込み(2カ月以内)となっており、利用者にとっては不安が募るところだ。
- KeePass vulnerability allows attackers to access the master password(Malwarebytes Labs)
https://www.malwarebytes.com/blog/news/2023/05/keepass-vulnerability-allows-attackers-to-access-the-master-password - Security - Dumping Master Password from Memory, Even When Locked(SourceForge)
https://sourceforge.net/p/keepass/discussion/329220/thread/f3438e6283/