オンラインパスワードマネージャーLastPassがハッキングされる

概要: 先週金曜日に LastPass のネットワークがハッカーに侵入され、攻撃者はユーザー アカウントの電子メール アドレス、パスワード リマインダー、認証に使用されるハッシュ情報を盗んだ可能性があります。この情報に基づいて、攻撃者はより弱いユーザーのマスターパスワードを推測することが可能です。 LastPassは、攻撃で暗号化されたユーザーデータベースが盗まれたが、ユーザーアカウントが攻撃者にアクセスされた形跡はないと述べた。

LastPassの公式ブログによると、先週金曜日にLastPassのネットワークがハッカーに侵入されたという。同社の情報セキュリティチームは「疑わしい活動」を調査したが、攻撃者がユーザーのパスワード保管庫から暗号化されたデータを盗んだり、ユーザーのアカウント情報を入手したという証拠は見つからなかった。

ただし、攻撃者はユーザー アカウントの電子メール アドレス、パスワード リマインダー情報、認証に使用されるハッシュ情報と個人のソルト情報を盗んだ可能性があります。この情報に基づいて、攻撃者はより弱いユーザーのマスターパスワードを推測することが可能です。

LastPass は、自社の暗号化対策に非常に自信があり、ほとんどのユーザーを保護するのに十分であると主張しています。 LastPass のハッシュ認証では、クライアント側ではなくサーバー側でランダム要素と PBKDF2-SHA256 アルゴリズムの 100,000 サイクルが使用されるため、盗まれたハッシュ値に基づいて復号化することがはるかに困難になります。つまり、盗まれたハッシュは攻撃される可能性がありますが、それほど迅速ではありません。ただし、この情報に基づいて、攻撃者がより弱いユーザー マスター パスワードを推測する可能性があります。

このセキュリティインシデントに関して、LassPass はすべてのユーザーに電子メール通知を送信しました。LastPass は、サービスのすべてのユーザーに新しいマスターパスワードを設定することを推奨しています。また、新しいデバイスまたは新しい IP アドレスからアカウントにログインするすべてのユーザーは、電子メールで自分の身元を確認する必要があります。他のサイトで LassPass マスター パスワードと同じパスワードを使用している場合は、それらのパスワードも変更する必要があります。

ユーザーのパスワード ボールトは盗まれていないため、ユーザーは LassPass パスワード ボールト内のパスワードを変更する必要はありません。通常どおり、LassPass では、ユーザーが LassPass アカウントの保護を強化するために 2 段階認証機能を有効にすることを強くお勧めします。

LastPass のセキュリティ インシデントは、セキュリティ分野を専門とする企業にとって致命的な打撃です。最も皮肉なのは、パスワード保護サービスを専門とする企業がハッカーにダウンさせられたことです。ユーザーは最も重要なパスワードをこの Web サイトに保存するため、セキュリティ リスクが高まります。そうなると、ユーザーはこのサービスをあきらめるしかありません。おそらく、最も重要なパスワード (オンライン バンキングや支払いのパスワードなど) を頭の中に覚えておくのが最も安全かもしれません。

ローカルパスワード管理と比較すると、LastPass の主な特徴は利便性です。パスワードは複数のコンピューターや携帯電話間で同期できるため、簡単に使用できます。ただし、これにより、サーバー側のシステムが攻撃される可能性も生じます。LastPass を使用するときは 2 段階認証を有効にし、オンラインバンキングや支払いのパスワードを LastPass に保存しないことが推奨されます。

LastPass は現在最も人気のあるパスワード保存サービスの 1 つです。ユーザーの複数の Web サイトのパスワードを無料で保存し、各 Web サイトに自動的にログインします。

原題: オンラインパスワードマネージャー LastPass がハッキングされる

キーワード: