LastPassユーザーは速やかにパスワードの変更を

2015年6月24日

オンラインパスワードマネージャーは、利用するWebサイトやサービスのパスワードをすべて自動で入力してくれます。デジタルライフが格段に楽になるため、とても便利なツールですが、それはハッキングされなければの話です。いざハッキングされたとなると、たった1つのマスターパスワードは信用できないものとなり、オンラインバンキングのログイン情報など、極めて重要な情報がサイバー犯罪者の手に渡ってしまう恐れが出てきます。

keys_vk

人気パスワードマネージャーのLastPassは先ごろ、ネットワーク侵入を受けたことを公表しました。流出したのはユーザーのメールアドレス、パスワードリマインダー(パスワードを忘れた場合の秘密の質問)、ユーザーごとのソルトと認証ハッシュです。LastPassは自社のクラウドにパスワードを保存していなかったため、パスワード自体は盗まれていません。しかし同社は、LastPassのマスターパスワードを変更して多段階認証を有効にするよう呼びかけています。

LastPassが侵入を発見してすぐに事実を公表し、注意喚起したことは評価できます。情報漏えいを隠ぺいしようとする大企業が多く、それがハッカーにとって有利に働くこともありますが、今回はそうなりませんでした。

とはいえ、不正侵入による影響範囲は、はっきりしないようです。LastPassの設立者であり、最高経営責任者(CEO)を務めるジョー・シーグリスト(Joe Siegrist)氏は、今回の事件は「大半のユーザー」には影響しないと主張しました。同氏の意見を支持するリサーチャーは、強力なパスワードを設定しているユーザーにリスクはないと断言しています。

一方、今回の侵入をきっかけとして悪意ある活動の波が新たに押し寄せ、LastPassユーザーが直接狙われると指摘するリサーチャーもいます。本物のメールアドレスのリストを手にしたハッカーは、標的型のフィッシング攻撃を展開し、足りないデータをだまし取ろうとするかもしれません。

たとえば、LastPassはマスターパスワードを変更するようにアドバイスしています。サイバー犯罪者たちが同社から公式に送られたように見せかけたスパムメールを送りつけるのを、どうやって阻止すればいいのでしょうか?「開発元」の警告と推奨事項が書かれた、怪しいところの見つからないメールを受け取った人は、あっさりとリンクをクリックして、その先のページでマスターパスワードを変更してしまうかもしれません。そんなことになれば、パスワードはサイバー犯罪者の手に落ちてしまいます。

LastPassをご利用の方には、以下をお勧めします:

  1. LastPass公式の推奨事項に従う。マスターパスワードを変更し、多段階認証を有効にしてください。多段階認証は、他のWebサイト(SNSやメールなど)でも、ぜひ有効にしてください。
  2. LastPassを名乗る差出人からメールが届いても、本文中のリンクをクリックしない。偽メールの可能性があるため、ページにアクセスするときはブラウザーのアドレスバーにURLを手入力するようにしてください。
  3. マスターパスワードと同じパスワードを、他のWebサイトに使わない。サービスごとに違うパスワードを設定するに越したことはありません。

LastPassがセキュリティ問題の対応に追われたのは、今回が初めてではありません。カリフォルニア大学バークレー校が昨年夏に5つのセキュリティマネージャーのセキュリティ脆弱性を公表しましたが、その1つがLastPassでした。他の4つは、RoboForm、My1Login、PasswordBox、NeedMyPasswordです。

ご存じのように、完璧なセキュリティ製品というものはありません。企業に求められるのは、顧客離れを恐れず、責任を持って情報漏えい事件を公表する勇気です。他のサービスに乗り換えたいと思うLastPassユーザーもいるでしょうが、何が起きてもLastPassを使い続けるという人もいることでしょう。

ご参考までに… カスペルスキー スモール オフィス セキュリティには、パスワードを管理するパスワードマネージャーが搭載されているほか、デバイスやデータを既存のマルウェアから保護するためのセキュリティ機能が備わっています。