知って得するセキュリティのはなし その143
リスト型攻撃か、マルウェアか…パスワード管理サービス「LastPass」から不正ログイン試行のアラート
1.このニュースをざっくり言うと
- 12月28日(米国時間)頃、複数のIT系ネットメディアにおいて、パスワード管理サービス「LastPass」の複数のユーザーが「(LastPass自体にログインするための)マスターパスワードが侵害された」との警告を受けたことが取り上げられています。
- 例えば、LastPassユーザーの一人で、音声広告を提供する企業のCTOであるGreg氏は、(自分が住んでいない)ブラジルから、実際に設定されているマスターパスワードによるログイン試行をブロックしたというアラートメールを受け取ったことを報告しており、(パスワードを暗号化してローカルPCにのみ保存する)KeePass上にのみ保存されていたはずのマスターパスワードが第三者に把握されている可能性があるとしています。
- IT系メディアの一つ「AppleInsider」がサービス運営元のLastPass社に問合せを行ったところ、他のサービスから流出したメールアドレス・パスワードによる、いわゆる「リスト型攻撃」によるログイン試行をブロックしたとの回答を得たとしており、またLastPass社のブログでも不正ログイン試行があったことについて取り上げられていますが、実際にアカウントへのログイン成立に至った例はなかったことが報告されています。
2.執筆者からの所感等
- 別のLastPassユーザーからは「マスターパスワードを変更したにも拘らず、直後に変更後のマスターパスワードによるログイン試行を受けた」との報告がある一方、あるセキュリティ研究者は、感染したPC上でパスワードの奪取を行うマルウェア「RedLine Stealer」に関するログにLastPassに関するものがあったとして、マルウェアが関与した可能性を示唆しています。
- 別のIT系メディア「BleepingComputer」では、今回アラートメールを受けたユーザーのメールアドレスはRedLineのログには見当たらなかったとしているものの、LastPassのサーバーにマスターパスワードそのものは送信されない仕様となっていること等から、RedLineあるいはそれ以外のマルウェアがPC上のキー入力を読み取ってマスターパスワードを奪取したものと推測されます。
- LastPass以外にも、その競合として注目されるBitWarden等や、前述したKeePassのようなリモートにデータが保存されない形のパスワード管理ツール・サービスが多く存在しており、またLastPassを使い続ける場合でも、同サービスが提供する二段階認証を有効にする等、安全な設定を確実に行うことにより、攻撃者の侵害を未然に防止できるケースはあると思われます。
- ただし、マルウェアに感染している場合、最悪PCから送信されるあらゆるサービスのパスワードを奪取される恐れもあるため、アンチウイルスやUTM等により、PC(ないしモバイル)にマルウェアが侵入しないよう万全の防御策をとることが肝要です。