パスワード管理サービスのLastPassが、11月末に発覚した不正アクセスの被害報告と今後予想される被害の可能性についての発表を行っています。
今回の不正アクセスの流れとしては、今年の8月にLastPassの開発環境の一部に不正アクセスがあり、その時に収集されたデータを使って、今度は11月末にクラウドサーバーへの不正アクセスが行われました。ここまでは11月の報告の通りです。
新たな報告では、この時に不正アクセスされたクラウドサーバーに保存されているユーザーデータが取得された可能性についても言及されています。
LastPassのクラウドサーバーには、パスワードやメモ、フォーム入力データなど、LastPassの暗号化データが保存されていて、今回の不正アクセスにより第三者の手に渡った可能性も否定できません。
ただ、これらのデータはAES 256 暗号化されていて、データを復元するにはユーザーが設定したマスターパスワードが必要になります。マスターパスワードはLastPassのクラウドサーバー上では保存されていないので、不正アクセスによってデータが取得されていたとしても、復元されて悪用される可能性はそれほど高くはありません。
(ハッカーのイメージ画像)
しかし、全くゼロというわけでもなく、総当り攻撃(ランダムにパスワードを延々と入力していく手法)でマスターパスワードを突破された場合は、ユーザーが保存していたデータが復号化されることになります。
さらに、今後考えられる被害として、フィッシング詐欺もあります。
LastPassのユーザーデータを復元するために、マスターパスワードをフィッシング詐欺で取得しようとする行為です。LastPassを装い偽装サイトに誘導してマスターパスワードを入力させようとする
手口のフィッシングメールが送られてくる可能性も考えられるので、LastPassユーザーの人は今後も注意が必要となります。
(明るくしてみたら結構おっさんだった、ハッカーのイメージ画像)
今回の騒動をまとめると
- 8月に開発環境に不正アクセスされた
- 11月にクラウドサーバーに不正アクセスされた
- クラウドサーバーにはユーザーデータが保存されていた
- LastPassはエンドツーエンド暗号化(E2EE)を採用しているので、すぐに被害が及ぶものではないが、総当たり攻撃でデータが復元される可能性がある
- LastPassを装いマスターパスワードを入力させるフィッシングにも注意が必要
8月の不正アクセスの情報が出た段階で不穏な空気を感じ取ってLastPassに見切りをつけて、LastPass上のデータを削除していたアンテナ感度の高いユーザーはギリギリセーフ!こういうサービスは「なんとなくヤバいな・・・」と感じたら、すぐに動くのが一番ということですね。教訓にしよう。
11月以降もLastPassを継続して使っていたユーザーはご愁傷さま。早急に他のサービスに移行することと、重要なアカウント情報については、パスワードを変更するなどの対策を行うことを強くおすすめします。
他のサービスに乗り換えよう
LastPassは確実にターゲットにされているので、今後も同様の被害が発生する懸念があり、他のパスワード管理アプリに乗り換えることをおすすめします。
1Password
利便性と信頼性でバランスが良いのは1Passwordでしょう。
ただし、運用コストがかかります。以前はライセンス買い切り形式だったので、メジャーアップデートまで5,000円前後で使うことができました。(アップデートせずに使い続けられるけど)しかし、今はサブスクリプション形式のみへと変わってしまったので、月額3ドルかかります。ドル建てになるので、円安の今はちょっと割高になりました。
Mac版を以前の有料ライセンスで利用している場合は、データの保存は基本的にローカルで行われて、データ同期をiCloudまたはWi-Fiで行うこともできますが、今のサブスクリプション版では、データは1Passwordのクラウドストレージに保存されます。
そのため、古参のユーザーと新規のユーザーとで評価の分かれるところでしょう。
iCloudキーチェーン
iOSやMacならキーチェーンが標準機能として備わっているので、そちらを使うという手もあります。もちろん無料です。
保存できるデータは「アカウント名」と「パスワード」のみとシンプルですが、OSに組み込まれた標準機能ということで、Safariやアプリの自動入力に使えるので利便性はかなり高め。データはiCloudを介して、同じApple IDでログインしているAppleデバイスで同期されます。
iCloudのクラウドストレージは信頼性が高く安心感がありますが、キーチェーンは機能面でシンプルすぎるので、メインとしては使いにくい部分があります。
Bitwarden
オープンソースのパスワード管理アプリ。
個人向けプランなら無料で使えて、保存できるパスワード数や同期できるデバイス数に制限がないというメリットがあり、iOS / Android / macOS / WIndows / Linux / Webでマルチプラットフォームで使えます。ログイン情報の他に、カード情報やセキュアメモにも対応しているので、LastPassや1Passwordの乗り換え先としても十分な機能が備わっています。
Bitwarden最大の特長として、データ同期するサーバーを自前のサーバーに設定できるセルフホストオプションがあります。お手軽であり自由度もそれなりにあり、無料で使える。有料プランも個人向けなら年間10ドルと格安です。
どれを選べば安全?
安全性が最も高いのは、暗号化されたローカルドライブに暗号化したデータを保存するという形式です。
以前の1Passwordを使った場合がこれに最も近くなりますが、現在はほとんどのパスワード管理サービスでクラウドでのデータ同期が採用されているので、どれを選んでも大きな差はありません。
クラウドでのデータ保存については、エンドツーエンド暗号化を採用していればどのサービスでも安全ということになりますが、今回のLastPassのように、管理側の意識の違いによって安全性が左右されるので、運営のセキュリティ意識が高く信頼できるサービスを選ぶのがベストです。・・・といってもそれが分かれば苦労はしないか。
- パスワードを使い回さない
- 二段階認証(SMSやワンタイムパスワード)を使う
個人利用なら、とりあえずこれだけ守れば安全かなと思います。
あまりセキュリティを高めすぎると利便性が損なわれるし、その逆もまた然りというわけで、パスワード管理アプリについては、今回ご紹介した1Password、iCloudキーチェーン、Bitwardenのどれかを使うといいでしょう。iOS版はどれも生体認証でロック解除ができるので利便性は高く、Bitwardenはマスターパスワードの2段階認証も使えます。
- Source The LastPass Blog
- Download1Password
- DownloadBitwarden
