著者

伊東 和寿 金岡 晃

雑誌

マルチメディア,分散協調とモバイルシンポジウム2239論文集

巻号頁・発行日

vol.2020, pp.1547-1553, 2020-06-17

---

Web サービスやアプリにおいてユーザから入力されたパスワードは重要な機密情報である.そのため外部からの不正侵入などに備えて解読が困難な状態で保管しているのが理想的とされている.代表例として SHA2 アルゴリズムを用いてハッシュ値に変換して保管するというものがある.しかし,すべての Web サービスやアプリが理想的な保管方法を実装しているとは限らない.個人情報が流出してしまう事件は多く発生しているが,その中にはサーバ側でパスワードを適切に保管しておらず平文もしくは可逆な形で暗号化保管されていたため,不正侵入などの被害にあった際にパスワードそのものが流出したケースが存在する.本研究は,どのようなサービスやアプリが利用者のパスワードを平文もしくは可逆な形でサーバ側に保管しているかどうかの実態を外部観測調査により明らかにすることを目的とする.手法としてはサービスやアプリごとに調査対象をリストアップし,1 サービスあるいはアプリごとに調査を行う.調査の結果 Alexa によるランキングでの上位サイト,Google Play ランキングでの上位アプリともに不適切な保管方法を実装していると確認出来たサービスやアプリは存在せず,総じて平文を返すサービスが多くはないことが本調査により明らかになった.