LastPassの2FAリセットプロンプトにより、ユーザーがアカウントにアクセスできなくなる

LastPassのセキュリティ侵害後の復旧作業は、あまり順調に進んでいない。少なくともユーザーにとっては。LastPassの指示に従って2要素認証を再同期した後、アカウントがロックアウトされてしまうユーザーもおり、当然ながら彼らは憤慨している。

経緯はこうです。2022年、LastPassは2件の大規模なセキュリティ侵害を発表しました。8月に発覚した最初の侵害では、ソースコードと独自の技術情報が盗まれました。2件目の侵害では、パスワード保管庫のデータを含む顧客データが盗まれ、その一部は暗号化されていない状態で保存されていました。

2022年12月にお客様に通知され、その時点でLastPassは予防措置として、LastPass Authenticator、Google Authenticator、Microsoft Authenticator、または同等の認証アプリ（Authyなど）の2要素認証（2FA）のシークレットをリセットすることを推奨しました。そして今年5月、同社はまだこのアップデートを行っていないお客様に対し、アップデートの実施を促し始めました。

ラストパス

しかし、Bleeping Computerの報道によると、LastPassの指示に従うとアカウントがロックアウトされる可能性があるとのことです。LastPassのフォーラムでは、複数のユーザーが2FAの秘密鍵をリセットした後、ログインできなくなったと報告しています。また、6月26日までサポートに連絡する方法もありませんでした。プレミアムユーザーはサポートチケットを送信するためにサイトにログインする必要があり、無料ユーザーは「個人」による1対1のサポートを受けることができませんでした。どちらのグループもサポートを受けることができませんでした。

このような状況に陥った場合、LastPassには専用のカスタマーサービスページが用意されています。オプション1のSMSによる復旧方法がうまくいかない場合は、オプション2までスクロールダウンし、赤い「サポートに問い合わせる」ボタンをクリックしてチケットの提出を開始してください。

回答をお待ちいただく間、パスワードが間違っていることに関連するエラーメッセージが表示される場合は、ご自身で問題のトラブルシューティングを行える可能性があります。受信トレイまたは迷惑メールフォルダで、位置情報確認メールを探してください。セキュリティメールアドレスがログインメールアドレスと異なる場合は、そのメールアドレス宛てにメールが届いているかご確認ください。メール内のリンクをクリックしてIPアドレスを確認してください。位置情報確認によるロックアウトかどうかは、拒否メッセージのスタイルで判断できます（下記参照）。

^{位置情報認証が必要な場合は、ログインフォームの上にログインエラーメッセージが表示されます。間違ったパスワードを入力すると、ログインフォームの下にエラーメッセージが表示されます。}

LastPass が新しい 2FA コードを認識しない場合、またアプリから最後の秘密をまだ削除していない場合は、古いコードを試してください。

残念ながら、これらの手順を試しても問題が解決しない場合（または認証コードのリセット通知が繰り返し表示される場合）、LastPassのサポートを待つ必要があります。この問題に関する新しいカスタマーサポートの直接窓口があれば、対応が早まるはずです。6月20日には、あるユーザーが5日間もロックアウトされ、LastPassから連絡がないという報告がありました。

LastPassはBleeping Computerへの声明で、より多くの反応を得ることを期待して、ユーザーに2FAの秘密鍵の再同期を促すメッセージの表示を6月上旬から開始したと述べています。それ以前のメールは、2023年3月と4月にも顧客にリマインダーとして送信されていました。（PCWorldのLastPassテストアカウントを確認したところ、これらのメールの記録は確認されなかったため、すべてのユーザーが受信したわけではない可能性があります。）

もし状況が複雑すぎると感じたら、他のユーザーのようにLastPassを捨てることもできます。難しくなく、時間もかかりません。「パスワードをエクスポートしてLastPassを捨てる方法」ガイドで詳しく説明しています。どのサービスに乗り換えたらいいのか迷っているなら、おすすめのパスワードマネージャーリストがきっとお役に立ちます。無料のものも含まれています。

著者: Alaina Yee、PCWorld 上級編集者