パスワード管理サービスのLastPassでセキュリティ侵害が発生したことが報告されました。LastPassと関連会社のGoToが共有しているサードパーティのクラウドストレージサービスで異常なアクティビティが検知されたとのことです。
2度目のセキュリティ侵害
実はLastPassでは2022年8月にもセキュリティ事案が発生しています。犯人はそのときに入手した情報を悪用して、また侵入したと発表されています。
現時点では、LastPassから侵害の詳細について発表されていません。ただ、ユーザーのパスワードは安全に暗号化されたままで漏洩していないと報告されています。
しかし、8月に入手した情報を元にして犯人が再度侵入したというのは、本当なのか耳を疑います。8月にセキュリティ侵害が検知されているならば、その際の脆弱性は対策し、さらにIDとパスワードの組み合わせは全て変更するなど、必要なセキュリティ対策がとられていて然るべきだからです。
LastPassの機能
LastPassはサーバーに情報を保有する方式で、例えばスマホとパソコン双方で保存しておいた情報を使うことができたり、便利なサービスになっています。無料でもスマホ同士であれば、管理している情報を使うことができます。
しかし、サーバーに宝の山があるようなものなので、ハッカーの標的にはされやすいのかもしれません。
他のパスワード管理サービス
最近ではApple社製品を利用していれば、iCloudでパスワードを管理することができますし、ブラウザのChromeや edgeでもパスワードが管理できます。
パスワード管理サービスがセキュリティ侵害に遭うことは非常に深刻な問題です。今回の2度目のセキュリティ侵害で解約する人が増えれば、財政的に安全にサービスを継続することが難しくなるかもしれません。
利用を継続すべきか否か微妙な状況になってきました。
【2022/12/23追記】
lastpassが深刻な状況を発表
lastpassに関してセキュリティインシデントに関する更なる情報公開がありました。
サーバーに保存されていたユーザーのデータが取得された可能性があります。このユーザーのデータとは、パスワードやメモ、フォーム入力データなどの暗号化データが保存されています。AES256暗号化されているのですが、このデータを復元するためには、マスタパスワードが必要になります。マスタパスワードはlastpassのクラウドサーバーには保存されていないので、犯人に渡った可能性は低いものの、総当たり攻撃やフィッシング詐欺などによってマスタパスワードを盗られる可能性は否定できません。
少し深刻な状況になっているようです。念のため、マスタパスワードについては変更をしておきました。
また、重要なサイトの情報は順次、iOSのパスワードマネージメント機能に手作業で移行して、lastpassからは削除を進めています。
コメント