知って得するセキュリティのはなし その192
パスワード管理サービス「LastPass」、不正アクセスで暗号化状態のパスワード等が流出
1.このニュースをザックリ言うと
- 12月22日(現地時間)、パスワード管理サービスLastPassより、8月および12月1日に発生した不正アクセスにより、暗号化されたパスワードを含むユーザーのデータが奪取されていたと発表されました。
- 同社では8月に不正アクセスを受けた時点でその旨を発表しており、その際にはソースコードや技術情報の一部が流出し、ユーザーに関連する情報の流出はなかったとしていました。
- しかしこの時点で流出した情報をもとに12月に再び不正アクセスが発生し、ユーザーの個人情報と、ユーザーが保存したパスワードが暗号化したデータが奪取されたことが今回発表されています。
- なお暗号化されたパスワードデータは、ユーザーが入力するマスターパスワードを基にした鍵で保護されているとのことです。
2.執筆者からの所感等
- LastPassはオンライン上でパスワードを管理するサービスとしてもっとも著名なものの一つであり、これまでも度々攻撃者からターゲットとされていました。
- 攻撃者は8月の不正アクセスで得た情報をもとにLastPass従業員のアカウントを奪取し、バックアップデータが保存されたクラウドストレージにアクセスしたとみられ、本番環境は影響を受けていないとのことです。
- マスターパスワードが、他のWebサービス等と共有していない、十分に強力なパスワードである限りは、暗号化が解除される可能性は低いですが、LastPassではマスターパスワードを聞き出すフィッシングの可能性に注意を呼び掛けています。
- LastPassと同様のサービスとしてBitWardenや1password等が知られており、またサービスが所有するサーバーにデータを保存することが心もとないのであれば、ローカル上にのみ、あるいは自分が契約したクラウドストレージ上にパスワードを保存できるツールとしてKeePass等がありますが、暗号化したデータが万が一奪取された場合を考え、マスターパスワードだけは決して簡単な文字列を使わないよう留意が必要です。