パスワードビューワ「ミルパス」に脆弱性、物理アクセスでパスワード窃取可能。使用中止呼びかけ

[JULY]

この商品をきちんと使っている分には、第三者がこにデバイスを分解して、保存されている情報を抜き取られる可能性は極めて低い。気をつける必要があるのは、むしろ廃棄する時。

[gabill]

電子デバイスの基準で言ったらダメだけど、それ言ったら紙の手帳にも脆弱性あるよなぁ。

[kako-jun]

物理アクセスの意味が広すぎて、全然わからないわ。普通に画面操作しただけで、見れちゃう抜け道があるのか、分解してシリアルコンソールでログインするのか

[shinp]

「金庫が盗まれたら物理的には中のものが窃取可能です」って意味だと思うが、それ言ったらおしまいぢゃんみたいな。

[kz78]

あー、内部で平文で保存してた感じ？（まあ物理アクセスされた時点で…とは思うが）

[hirata_yasuyuki]

ストレージ内のデータは暗号化されていなかったと。パスワードで保護されていて安心だとの想定が、ストレージを取り出して抜き出せるので軽視はできない。(PCやスマホなら大騒ぎになるよね)

[buhoho]

パスワードはやっぱり忘れないように背中に刺青で彫っておくのが一番だよな

[uzuky]

これターゲット層がいまいちわからなかったんだよね。PCに繋いで管理するのはめんどくさいし、パスワード手打ち入力しないとなので桁が少なくなりがちだし、200件しか保存できないし、一般向けにしては使いにくすぎる

[kat0usi]

重要なデータを扱ってるわりに5〜6年でサポート終了って許されるんだ

[xorzx]

紙のメモ帳と同じセキュリティーリスクがあると。

[hiroomi]

”機微な情報を暗号化していない脆弱性(CWE-311)があり”

[deep_one]

耐タンパ性なかったのか。まぁそれでも「パスワードをメモした手帳」より数万倍強いが。（いや、数億倍か。）

[queeuq]

まー、このデバイスを無くした時に問題ってことなのだろう。外部IFが無いなら分解かな。

[zakinco]

ぎゃー

[ys0000]

これ電源が入らなくなったみたいな理由で処分するときどうするんだろう。物理破砕してから廃棄したいね。まぁ自分は使ってないから別にいいんだけど。

[theta]

後継機種はないのかな/こういうのは、「マスターパスワード+相手先別パスワード」を作って、マスターパスワードは自分で記憶、相手先別パスワードのみをメモする運用が良いらしいが

[osakana110]

クラッキング(物理)

[zkq]

パスワードマネージャーなら、打ち込む必要もないしフィッシング対策にもなるし、いまいち用途がわからない

[ginyumyuq]

物理的に窃取すれば程度問題に堕するのは古いiPhoneでも同じ。最終的には境界を定義し縦深防御を敷き戦闘員に防衛させ重要な意思決定には複数人の一致を必須とするしかない。まともな軍隊ならどこでもそうしている。

[karkwind]

こういうのは、永続的にサポートしてくれないとだめだな…。もしサポート切れたならオープンソースにしてもいい気がするんだけど…

[John_Kawanishi]

｢ミルパスには機微な情報を暗号化していない脆弱性(CWE-311)があり物理Access可能な第三者がPasswordを窃取できてしまう。該当DeviceのSupportの既に終了している為対策はなく該当製品の使用中止を呼びかけている｣

[pmint]

IPAの報告がこんな感じなので、メーカーも困っただろう。「機微な情報」って表現を見るにつけ、セキュリティー分野の人は思考力なさそうだし、そういった表現でぼかさないとやっていけない、胡散臭い分野なんだろう。

[burnoutdog]

メモリチップから吸い出されちゃうのか

[oops_design]

エイプリルフールの記事かなと錯覚した。

[htnmiki]

脳に物理アクセスされたらどうしよう

[yoshis1210]

“PCやWebサイトのIDやパスワード、クレジットカード、キャッシュカードの暗証番号、ナンバーキーの番号など“ を保存させておいて暗号化していないってこと？随分ぶっ飛んだ設計だな。