今月17日、ソフトウェア・エンジニアのDale Myersさんが書いた「1Password から貴方の情報が漏洩しています」という記事が話題になっているようです。

経緯

　この騒動の発端となったDaleさんの主張は以下の通りで、1Passwordが提供している「1PasswordAnywhere」と「Agile Keychainフォーマット」をDropboxで利用している場合、一部のメタデータが暗号化されておらず個人情報が漏洩する恐れがあるというもので、

1. AgileBitsはネイティブアプリが提供されていないLinuxなどでも1Passwordが利用できるように「1PasswordAnywhere 」というブラウザベースのツールを提供している。
2. 1PasswordAnywhere はDropbox内の「1Password.agilekeychain」> 「1Password.html」をブラウザで開くことで利用可能。
3. 1Password.agilekeychainの「Agile Keychain フォーマット」（以下AKF）は2008年に作成されたフォーマットで、このAKF内の「contents.js」にはプレーンテキストで読み取れる各サービスのログイン情報がある。
4. 1PasswordAnywhere はHTTP プロトコル利用できる。

これ以外にも、ISPなどの各サービスの不具合で送られてきたパスワードリセットリンクがパスワードリセット後にも有効になっており、1Passwordにそのリンクが収納され1PasswordAnywhereから情報が流出した場合、悪意のあるユーザーがアカウントを乗っ取ることも可能だと主張しています。

AgileBitsのコメント

　この記事に対し、1Passwordを開発しているAgileBits Inc,のJeffrey GoldbergさんがHacker Newsに「彼の主張や分析は非常に優れているが、見出しだけ読んだ人には少し誤った印象を与えてしまう」として、こちらも以下の様なコメントを残しています。

Hello all, I'm the Chief Defender Against the Dark Arts at AgileBits, the makers of 1Password. The discussion and analysis in Dale Myers' article is very good, although someone who just reads the headline could very easily come away with the wrong impression.
[Hello all, I'm the Chief Defender Against the Dark Arts at AgileBits, the makers... - Hacker News]

• 2008年に設計されたAKFには確かに彼の主張する通りの脆弱性があるが、我々は既に新しいフォーマット「OPVault」の提供を2012年に開始している。
• OPVault フォーマットではメタデータの暗号化および認証方法が改善されています。
• 彼の記事の「OPVaultフォーマットのファイルがDropbox同期のデフォルトフォーマットになっていない」「AKFからOPVaultフォーマットへの簡単な移行方法が提供されていない」という点についてはその通りです。

　最後のAKFからOPVaultフォーマットへの移行方法が示されていないことについてJeffreyさんは「OPVaultフォーマットはMacのデフォルトフォーマットとして開発されたもので、新しいフォーマットを1つのプラットフォームに提供するのは簡単ですが、Windowsとの整合性や不具合によって現在のところOneDrive/Dropbox同期の場合はAKFを利用するようにしている」ともコメントしています。

So if we were to make OPVault the default sync format on Mac, we would need to know that the 1Password app people are using on Windows. We have been conservative about this.

Also, in our beta testing of data migration, we discovered a nasty bug in how we encoded keys for the some attachments. The result is that some of our beta testers would have lost data if they had not had good backups of their AKF data. Obviously, that is not something we wanted to push into general release.
[Hello all, I'm the Chief Defender Against the Dark Arts at AgileBits, the makers... - Hacker News]

　以上のようにAgileBitsは1PasswordのOPVaultフォーマットの移行を進めていますが、1PasswordをMacおよびWindowsなどのマルチプラットフォームで利用しているユーザーに配慮して現在はAKFをDropboxのデフォルトとしているということなので、MacやiOSアプリだけで1Passwordを利用している場合は公式サイトや携帯総合研究所さんの記事を参考にOPVaultフォーマットへの移行してみてください。

追記

　AgileBitsがDaleさんの記事に関して公式ブログに以下の記事を投稿しています。内容としてはJeffreyさんのコメントと同じようすが、AgileBitsは現在1Password for WindowsのBeta版でAKFからOPVaultフォーマットへの移行テストをしており、今後Mac, iOS, Androidアプリも対応し、最終的に全てのプラットフォームのアプリでOPVaultフォーマットへの自動移行を行う予定のようです。

We’ve already started making changes to use OPVault as the default format. In fact, the latest beta of 1Password for Windows does this already. Similar changes are coming to Mac and iOS soon, and we’re planning on using the new format in Android in the future. Once all of these things are complete, we will add an automatic migration for all 1Password users.
[When a Leak Isn’t a Leak - AgileBits Blog]

関連リンク：

• 1Password Leaks Your Data - MYERS.IO
• 1Passwordの保管庫を安全な「OPVault」に変更する方法 - 携帯総合研究所
• AgileBits、1Password for Macをv5.4にアップデート。

Yubico FIDO U2F準拠 セキュリティキー 並行輸入品 [エレクトロニクス]

Yubico