画像: LastPass
ああ、LastPassさん、1ヶ月もセキュリティ上の問題が報じられないなんて、本当にあり得ますか? 個人情報の安全を守ることが、文字通りLastPassの仕事の全てです。2022年に大々的に報道されたハッキング事件に関する同社の最新の声明によると、事件の鍵の一つは従業員の自宅のパソコンだったそうです。簡単に言えば、幹部社員が個人所有のパソコンをきちんと管理していなかったということです。
LastPassのサポートシステムに掲載された調査の詳細(プレスリリースなどの声明には記載されていない点)によると、同社はDevOpsエンジニアの1人が自宅のPC経由で侵入されたと発表しており、このPCは「脆弱なサードパーティ製メディアソフトウェアパッケージ」を悪用して攻撃されたという。侵入後、ハッカーはキーロガーを使って従業員のマスターパスワードを取得し、Amazon Web Serviceの暗号化キーとLastPassの暗号化された共有データにアクセスした。
Ars Technicaが指摘しているように、LastPassの徹底的な調査は、複数の手法を用いて、同社を標的とした広範かつ特定の攻撃経路を狙った組織的な攻撃が行われたことを示唆しています。これは数ヶ月にわたり段階的に実行された高度な攻撃です。仕事を自宅に持ち帰ったことがある人なら誰でも、企業の厳重なセキュリティ対策を怠りがちになるのは当然のことです。
しかし、繰り返しになりますが、もしあなたのビジネスモデル全体が、ユーザーの個人データが安全に保管されているという安心感を前提としているのであれば、いかなるセキュリティ上の欠陥も、大きな信頼の失墜に繋がります。余談ですが、読者の皆様はPCWorldのおすすめパスワードマネージャーのまとめ記事をご覧になることをお勧めします。LastPassはもはや私たちのベストチョイスではありません。
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
