パスワード管理サービスのLastPassで、11月末に不正アクセスの被害があったという報告がされています。
LastPassのサーバーに保存されているパスワードは暗号化されているので安全だということですが、ユーザーデータの特定の要素にアクセスされたといいます。なお、特定の要素がどの項目に該当するのか(ユーザーIDやパスワード)については明らかにされていません。
実は、LastPassは8月にも開発環境の一部に不正アクセスされています。
その時点では、ユーザーデータや暗号化されたパスワードへのアクセスは確認できなかったと報告されましたが、結果的には、その時に収集されたデータが使用され、今回の不正アクセスに繋がったと考えられています。
LastPassは、パスワード管理サービスとしてはかなりの老舗になるので、これまでに利用された方もいらっしゃるでしょう。無料でも利用できるのと、サーバーを介してマルチプラットフォームからパスワードのデータを同期できるのが強み。ですが、逆にそれが脆弱性にも繋がります。
LastPassは、2022年だけで2回の不正アクセス被害にあっていて、完全に不正アクセスのターゲットにされているふしがあるので、今後も利用するにはちょっとリスクが高めかなと判断できます。
パスワード管理サービスやアプリで重視すべきなのは、利便性よりも安全性です。
同期が便利だとかマルチプラットフォームで使えるだとかいうメリットは、不正アクセスのリスクと天秤にかけると、取るに足らないメリットへと変わります。安全にパスワードやクレジットカード情報などを一括管理できてなんぼのサービスなので、それが出来ないとなれば、早急に別のサービスに乗り換えるのが得策でしょう。
最近は、OSのパスワードマネージャがかなり優秀になってきているので、ログイン情報の管理だけならそれだけで十分に使えます。OSに組み込まれた機能だけあってアプリなどでも自動入力できるし、Appleが提供しているiOSのパスワードマネージャ(iCloudキーチェーン)ならFace ID / Touch IDだけで自動入力されるので、パスワードマネージャとアプリを切り替えてポチポチする手間もありません。
データはiCloudで同期されますが、暗号化されて保存されているのとiCloudへの不正アクセスによる被害はこれまで発生していないので、信頼性はかなり高く安心して利用できます。
- Source The LastPass Blog