パスワード管理アプリ「1Password」がデータ同期に使っている「.agilekeychain」というコンテナファイルで、一部の情報が暗号化されずに保存されていることが指摘され話題になっています。
問題のファイルは、agilekeychainの内容を表示した/data/default/の中にある contents.js というファイル。このファイルをエディターで開いてみると、パスワード情報のタイトルやURLを確認することができます。
ユーザー名やパスワードの項目は表示されませんが、メモ部分にパスワードなどを記載している場合、このファイルを開くだけで確認できてしまいます。
最近の1Passwordではコンテナファイルが「.agilekeychain」ではなく、セキュアな「.OPVault」に変更されているので、2012年以降に1Passwordを導入して最初からコンテナファイルが.OPVaultになっているケースや、同期にiCloudを利用している場合は、そのまま使用しても問題はありません。
.agilekeychainのセキュリティリスクの影響を受けるケース
- .agilekeychainの頃から1Passwordを利用していて、データ同期にDropboxを利用している。
- コンテナファイルに.agilekeychainしか使えないバージョン(1Password 3 for Mac, 1Password 4 for iOS, 1Password 1 for Windows, 1Password for Android)を利用していて、データ同期にDropboxを利用している。
この条件に加えて、Dropboxのデータが流出するか自分のアカウントが乗っ取られるか、マルウェアに感染するか、PCやMacやiPhoneが盗まれた場合に限り、 contents.jsの中身が流出する恐れがあります。つまり、リスクとしてはかなり低めということです。
対策方法
- iOS版の場合:データ同期を「Dropbox」から「iCloud」に変更する。
- Mac版1Password 5の場合:コンテナファイルを「.agilekeychain」から「OPVault」に変更する。
- Win版1Password 4の場合:コンテナファイルを「.agilekeychain」から「OPVault」に変更する?(参照:AgileBits Support Forum)
1Password 5 for Mac:コンテナをOPVaultに変更する
コンテナファイルが「.agilekeychain」であっても、Mac版なら簡単に変更することができます。
- 1Passwordを終了する。
- ターミナルを起動して以下の内容をペーストしてリターン。
Mac App Storeで購入した場合:defaults write 2BUA8C4S2C.com.agilebits.onepassword-osx-helper useOPVaultFormatByDefault true
AglieBitsのサイトで購入した場合: defaults write 2BUA8C4S2C.com.agilebits.onepassword4-helper useOPVaultFormatByDefault true - 1Passwordを起動する。
(trueの部分をfalseにすると元に戻せます。)
OPVaultに対応していない1Passwordはどうする?
1Password 3 for Mac, 1Password 4 for iOS, 1Password 1 for Windows, 1Password for AndroidなどはOPVaultに対応していません。まあ、iOS版は無料なのでアップデートするといいですし、Androdi版は対応待ちなだけとして、Mac版とWindows版は現状のまま使うしかありません。
前述の通り、情報が流出するリスクはかなり低いので、以下の事を心がけるだけでも精神衛生上かなり違ってくるかと思います。
agilekeychainの同期にDropboxを使う際の注意点
- タイトル部分にログインユーザー名を書かない。
- メモ部分に情報を書かない。
- Dropboxのパスワードを強化する。(パスワードジェネレーターで生成した強力なパスワードを定期的に変更する)
- 怪しいアプリでDropboxを認証しない。
- Source 1Password Support
- iOS 1Password (無料)
- Android 1Password (無料)
