私はDashlaneやLastPassといったブラウザベースのパスワードマネージャーの大ファンです。しかし、最近明らかになったように、これらのソリューションは完璧ではありません。今週初め、Googleセキュリティチームの研究者Tavis Ormandy氏がFirefox上のLastPass 4.0ユーザーに重大な脆弱性を発見し、LastPassユーザーに衝撃を与えました。このセキュリティホールは、悪意のあるウェブサイトにユーザーを誘導し、リモートから(そして完全に)アカウントを侵害する可能性がありました。
LastPassはセキュリティ問題を迅速に修正しました。Firefoxの拡張機能を更新していれば、アカウントはこの脆弱性の攻撃から保護されるはずです。保護されているかどうかを確認する方法は次のとおりです。
アドオンの手動更新
Firefoxを開き(この手順はFirefox 47に基づいています)、 アドレスバーに「about:addons」と入力し、キーボードのEnterキー を押します。次に、左側のナビゲーションバーで「拡張機能」をクリックし、LastPassの項目に移動して、そのセクションの「その他」リンクをクリックします。
Firefox 用の LastPass。
上の画像のようなページが表示されているはずです。まずはページ上部をご覧ください。「LastPass 3.3.1」と表示されている場合、それ以上探す必要はありません。この脆弱性の影響を受けません。「LastPass 4.0」と表示されている場合、アドオンが最新バージョンであることを確認してください。
右上隅の設定アイコンをクリックし、「アップデートを確認」を選択してください。これにより、Firefoxのすべてのアドオンのアップデートがチェックされます。アップデートが見つかった場合はダウンロードされます。見つからない場合は、ブラウザ拡張機能の最新バージョンが既にインストールされていることになります。
設定の歯車アイコンをもう一度クリックし、 「最近のアップデートを表示」を選択すると、これを再確認できます 。LastPassが最近アップデートされた場合は、ここに表示されます。
最後にもう一度、設定の歯車アイコンをクリックし、「アドオンを自動的に更新」の横にチェックマークが付いていることを確認してください。デフォルトでチェックマークが付いているはずですが、付いていない場合は、この設定を選択すると、アドオンが常に最新バージョンに更新されます。
パスワードマネージャーについて再考する
深刻なセキュリティ問題が発生すると、そのソフトウェアを永久に使用しないという誘惑に駆られがちです。セキュリティ上の欠陥は厄介ですが、これらのツールを使う方が、自分でパスワードを作って覚えるよりもはるかに良い選択肢です。そうすると、複数のサイトでパスワードを使い回すことになり、すぐに修正されたセキュリティ上の欠陥よりもはるかに深刻な問題に直面する可能性があります。
LastPassアカウントでは2段階認証を必ず有効にしておきましょう。今回のケースでそれが役に立ったかどうかは定かではありませんが、一般的には攻撃者がアカウントを乗っ取るのをはるかに困難にする、優れたセキュリティ対策です。
