先日、Google 認証システム アプリがアップデートされ、デバイス間で2FA(2要素認証)のパスコードをGoogleアカウントと同期する新機能が公開されました。すでに展開されているこの同期機能ですが、セキュリティ研究者からの指摘によって通信がエンドツーエンドで暗号化されていないことが明らかになり、その後にGoogleは理由を説明しています。
Googleによると、認証システムの新しい同期機能の目的はユーザーを保護する機能提供するだけでなく便利な機能を提供することでもあると説明しています。またエンドツーエンド暗号化の追加は保護を提供する強力な機能であることを認めつつ、ユーザーがGoogleアカウントのパスワードを忘れたり紛失した場合に復元ができない可能性があることを伝えています。
E2EEは自分以外のユーザーがデータにアクセスできなくなって安全性が高まる反面、紛失など予期せぬ出来事があった場合は外部から復元できないという問題があるため難しいところですね。
さらに、Googleパスワードマネージャーなど一部のサービスではデバイス上の暗号化を提供していることを伝え、将来的にはGoogle認証システムにもE2EEを提供する予定であるとしています。
また、Googleアカウントと同期せずオフラインでのみ利用するオプションは引き続き利用可能であることも伝えています。さらに他のGoogle製品でも転送中および保存中のデータを暗号化することも付け加えています。
便利さを取るか、安全性を取るかでバランスが難しいところですが、筆者としてはGoogleアカウントと同期するようになったことで、デバイスを移行する際に毎回エクスポート・インポートの操作をする手間が減って歓迎です。
