LastPassはハッキングされたが、あなたはハッキングされなかった

Yで終わる日、つまりセキュリティ侵害のニュースがさらに増える日です。木曜日、Lastpassは開発者環境への侵入があったことをユーザーに通知しましたが、パスワード保管庫と顧客データは安全であるとすぐに顧客に安心を促しました。

メールで送信され、ブログにも掲載された発表の中で、同社は根本的な問題は開発者アカウントの侵害であり、そこからLastPassのソースコードと独自の技術情報の一部が盗まれたと説明しています。LastPassは現在、問題の切り分けと軽減のための措置を講じ、外部のサイバーセキュリティおよびフォレンジックチームを雇用しており、調査は現在も継続中であると述べています。現時点では、ユーザーに対してマスターパスワードの変更は推奨されていません。

LastPassがサービスへのハッキングを報告したのは今回が初めてではありません。2015年には、ユーザーアカウントのメールアドレス、パスワードリマインダー、認証ハッシュへの不正アクセスが発生しました。他にも脆弱性が明らかになっています。Google Project Zeroの研究者であるTavis Ormandy氏は2016年にLastPassのサービスに問題を発見したと報告し、2017年にはウェブサイトからパスワードを盗み出すことができるブラウザ拡張機能の脆弱性が報じられました。2019年には、Ormandy氏はブラウザ拡張機能の別の脆弱性も発見し、これにより最後に使用されたパスワードが漏洩する可能性があるとしています。

ツイッター

セキュリティ業界の著名人からの冷静な反応にもかかわらず、LastPassを現在ご利用の方は、このニュースに不安を感じているかもしれません。LastPassは、有料パスワードマネージャーとして当社が最も推奨する製品に選ばれるなど、日々の使い勝手で高い評価を得ていますが、セキュリティ侵害やコミュニケーションミス（昨年12月に発生した、クレデンシャルスタッフィング攻撃の影響を受けていない顧客にセキュリティ警告メールを誤って送信したケースなど）は、サービスへの信頼を損なう可能性があります。

LastPassの保証を完全に信頼できず、パスワード保管庫の整合性に不安がある場合は、パスワードを保護するためのいくつかの方法があります。最も簡単な予防策は、LastPassのマスターパスワードを変更することです。また、2要素認証が有効になっていることも確認してください。さらにセキュリティを強化したい場合は、AuthyやGoogle Authenticatorなどのソフトウェアベースのトークン生成ツールではなく、ハードウェアデバイス（Yubikeyなど）を使用してください。メインキーを紛失、盗難、または破損した場合に備えて、バックアップキーを用意しておくことをお勧めします。

もちろん、Bitwarden、Dashlane、1Passwordといった別のサービスに完全に切り替えてしまうのが最善策です。（Bitwardenには、まず試してみたいという方のために、充実した無料プランがあります。）クラウドベースのサービスの脆弱性を回避するために、KeePassのようなローカルデータベース専用のパスワードマネージャーを使うこともできます。（KeePassの詳細については、おすすめの無料パスワードマネージャーのまとめをご覧ください。） 

いずれにせよ、パスワードマネージャーを完全に諦める必要はありません。パスワードマネージャーはオンラインセキュリティの重要な要素であり、たとえ使いにくく感じても、自分に合った方法を見つけることができます。

著者: Alaina Yee、PCWorld 上級編集者