LastPassが再びハッキングされ、今回は顧客に影響

更新： 12月22日、LastPassは漏洩した顧客情報に関する詳細情報を含む新しいブログ記事を公開しました。請求先住所、メールアドレス、エンドユーザー名、電話番号、IPアドレスなどのアカウント情報が取得されたと発表しました。また、ウェブサイトのURLなどの暗号化されていないデータと、ウェブサイトのユーザー名とパスワード、セキュリティメモ、フォームに入力されたデータなどの暗号化されたデータを含む顧客保管庫データも漏洩しました。

失われた情報に関する詳細は、同社のブログ記事をご覧ください。これまでの経緯や今後の対応についても詳しく説明されています。LastPassをご利用の場合、最善のセキュリティ対策は、他で使用されたことのない、強力でランダムなパスワードを使用することです。プロバイダーを変更することも可能です。おすすめのパスワードマネージャーをまとめたこちらの記事では、LastPass以外にもおすすめのパスワードマネージャーをご紹介しています。

漏洩のより詳しい背景情報を網羅した12月1日のオリジナル記事を以下に掲載します。

LastPassにとって、今年は厳しい一年でした。8月には、人気のパスワードマネージャーがセキュリティ侵害を受け、同社の開発環境が侵入を受けました。当時、LastPassは、ソースコードの一部と独自の技術情報が盗まれたものの、顧客への影響はないと発表していました。

同社は現在、関連する2度目のハッキングに見舞われており、今回は顧客に影響を与えています。水曜日に同社ブログで報告されたように、LastPassは最近、サードパーティのクラウドストレージサービス内で異常なアクティビティを検出しました。これまでの調査で、今回の侵害は2022年8月のインシデントで得られた情報に基づいており、「顧客情報の特定の要素」がアクセスされたことが明らかになっています。調査が現在も継続中のため、これ以上の情報は提供されていません。ただし、LastPassは顧客のパスワードは安全に暗号化されたままであると発表しています。

日々の使い勝手で（私たちも含め）推奨されているにもかかわらず、今回のニュースに不安を感じるのであれば、それも当然です。LastPassは過去にもハッキング被害に遭っており、2015年にはユーザーアカウントのメールアドレス、パスワードリマインダー、認証ハッシュへの不正アクセスが発生しました。その他のセキュリティ上の問題としては、2017年に発生したブラウザ拡張機能の脆弱性が挙げられ、ウェブサイトからパスワードが盗まれる可能性があります。2019年には、2017年の問題を発見したセキュリティ研究者が、最後に使用されたパスワードが漏洩する可能性のある別のブラウザ拡張機能の脆弱性も発見しました。同社は、クレデンシャルスタッフィング攻撃の影響を受けていない顧客にもセキュリティ警告メールを送信するなど、コミュニケーション面での不備も犯しています。

他の一流パスワードマネージャーは、長年にわたりこれほど多くのインシデントを報告していません。もしご希望であれば、他のサービスへの切り替えも簡単です。また、LastPassアカウントのセキュリティを確認し、強力なパスワードの使用、二要素認証の有効化、承認済みデバイスの監視など、ベストプラクティスに沿っていることを確認してください。 

しかし、この透明性は不快なものかもしれませんが、根本的な問題はパスワードマネージャーの一般的な概念ではありません。パスワードマネージャーはオンラインセキュリティの重要な部分であり、セキュリティ侵害に直面したとしても、より快適に使えるようにする方法は見つかります。パスワードマネージャーを完全に放棄してはいけません。

著者: Alaina Yee、PCWorld 上級編集者