オンラインマルチプラットフォームパスワードマネージャーのLastPassは、ハッカー攻撃によるものと思われる「ネットワークトラフィックの異常」に気づいたため、ユーザーにマスターパスワードの変更を強制している。
「覚えておく必要のない最後のパスワード」を提供すると自称するLastPassは、あらゆるブラウザ、スマートフォン、OSで動作する拡張機能です。ボタンをクリックするだけで、保存したログイン情報やフォームに入力し、個人データをあらゆるコンピューターに同期します。
LastPassは社内ブログで、重要度の低いサーバーでネットワークトラフィックの異常を確認したと発表しました。担当者は異常を詳しく調査しましたが、根本原因は特定できませんでした。その後、原因不明の別のデータベースからトラフィックが逆方向に送信されていることに気付きました。「この異常についても原因が特定できないため、データベースに保存されているデータが何らかの方法でアクセスされたという最悪の事態を想定せざるを得ません。」
LastPass がこの件に関して把握しているのは、転送されたデータの量について「おおよそ」であり、「ユーザーのメールアドレス、サーバーのソルト、そしてデータベースからソルト付きパスワードハッシュを転送できるほどの規模」ではあるものの、「多数のユーザーの暗号化されたデータブロブ」を抜き出すほどの規模ではないということです(「多数」という言葉の使い方に注意してください。これは、暗号化されたデータブロブの一部が失われた可能性を意味しています)。
LastPass チームは、ユーザーにマスター パスワードの変更を強制するだけでなく、個人のアクセスが以前使用された IP ブロックから行われているかどうかを再確認したり、電子メール アドレスを認証したりして、本人確認を行っています。
現時点ではデータ損失の規模は不明だが、PCWorld の 2009 年のベスト製品 100 に選ばれた LastPass は、この事件を機に、同社が開発を進めてきた新しいセキュリティ層、つまり 100,000 ラウンドを利用する 256 ビット ソルトを使用したサーバー上の SHA-256 を使用する PBKDF2 (パスワード ベースのキー導出関数) を発表した。
昨今、オンラインでは詐欺や盗難が多発しています。最近の最も顕著な例は、Sony PlayStation Network の顧客 7,700 万人の個人データが漏洩した大規模な Sony ハッキングです。LastPass がこのように「偏執的」になって、この問題を真剣に受け止めていることは、心強いことです。
