これは怖い・・・
窓の杜の記事に、 どこでも同じパスワードが生成される……Kasperskyのパスワード生成ツールの問題とは? てのがありました。
暗号通貨のハードウェアウォレットを提供するLedger社のセキュリティチーム「Ledger Donjon」は7月6日(現地時間)、「カスペルスキー パスワードマネージャー」の脆弱性「CVE-2020-27020」の詳細を明らかにしたそうです。記事によると・・・
「カスペルスキー パスワードマネージャー」(KPM)には強力なパスワードを生成する機能が搭載されているが、これには「Boost」ライブラリが提供する疑似乱数生成器(PRNG)がそのまま用いられていた。これはメルセンヌツイスターによる乱数生成を行うが、暗号化にはあまり適していない。一見すると「KPM」が生成するパスワードはまったくのランダムに見えるが、実は「q」や「x」といった特定の文字が使われやすかった。
だそうです。詳細は記事に譲りますが、今回の件を簡単にまとめると、PCのシステム時刻を擬似乱数生成のシード値に使っていたため、「カスペルスキー パスワードマネージャー」で生成されるパスワードは、システム時刻が同一であれば同じパスワードを生成していたということになります。
ですから、「カスペルスキー パスワードマネージャー」ができた2010年から本年2021年までを秒に換算して、それを総当りでアタックすると、パスワードが解読できてしまうことになります。現在のCPUスペックですと、たった数分で突破できてしまうレベルだそうです。
記事にもある通り、既にこの脆弱性は修正済みとのことですので、「カスペルスキー パスワードマネージャー」をご利用中の方がいらっしゃいましたら、早急に最新版への更新をお薦めします。