パスワード管理会社LastPassのCEOは、ハッカーが何百万人ものユーザーのデータにアクセスした可能性は非常に低いが、危険を冒したくないと語った。
PCWorldの独占インタビューで、LastPassのCEO、ジョー・シーグリスト氏は、数百万人の顧客にクロスプラットフォームのパスワードストレージを提供している同社のサーバーが外部からのアクセスを受けた可能性があるという結論に至った経緯を説明した。そのわずか前日、LastPassはブログで「ネットワークトラフィックの異常」を検知し、追加のセキュリティ対策を実施していることを発表していた。
シーグリスト氏は今、最悪の事態を想定しすぎたかもしれないと述べている。しかし、たとえそれが会社のイメージを傷つけることになっても、迅速に行動し、全員に確実に情報を提供したかったのだ。今回の事件がソニーのプレイステーション・ネットワークのハッキング事件と近い時期だったことを考えると、多くのユーザーにとってセキュリティは確かに重要な懸念事項だったと言えるだろう。
木曜日の午後、シーグリスト氏と約30分間おしゃべりしました。以下は会話を編集したものです。
[関連記事: オンラインパスワードマネージャー「LastPass」がハッキングされた可能性]
PCWorld:何かおかしいと感じたのは、具体的に何が起こったのですか?
ジーグリスト氏:私たちはトラフィックログを確認し、ネットワークで何が起こっているかをかなり定期的に確認しています。異常値を見つけたら、その理由を突き止めようとします。何がデータを引き出し、ビットを移動させているのかを解明しようと努めています。
このケースは、誰も働いていないと思われる時間帯に発生し、しかもマシン間で大量のデータ転送が行われるはずのない状況だったため、私たちにとっては異常なケースだと強く感じられました。そのため、私たちは少し不安になり、焦燥感を覚えました。たとえ何か悪いことが起こったという確かな証拠が見つからなかったとしても、最悪のケースを想定して検討することにしました。
PCW:どのようなデータが盗まれたり、侵害されたりした可能性があるかについて、現時点でわかっていることは何ですか?
ジーグリスト氏:今回の転送の規模とレベルから判断すると、大量のデータが盗まれたとは考えられません。しかし、ユーザー名と(暗号化された)パスワードが盗まれるには十分な情報量だったはずです。これは、潜在的な攻撃者が当社のサーバーにアクセスすることなく、脆弱なマスターパスワードを持つユーザーを探し出すための十分な情報源となります。まさにこれが私たちが懸念している脅威であり、このような対応をとっている理由です。
関係するマシンには、ユーザーの暗号化されたBLOBデータに加え、ユーザー名、パスワードハッシュ、そしてそれらのハッシュのソルトデータも保存されていることが分かっています。このこととデータのサイズを考慮すると、盗まれたBLOBの数は数百個程度にとどまると考えられます。
[著者注:ソルトとは、盗まれたパスワードの悪用を困難にするために使用される手法です。パスワードが難読化(ハッシュ化)される前に、ランダムに生成されたキーがパスワードに追加されます。 ]
最悪の事態を想定し、そこから生じるリスクをどう軽減できるかを検討しています。これは単なる奇妙な不具合なのでしょうか?その可能性はあります。しかし、このような事態はこれまで一度も発生しておらず、私たちは長い間この状況を注視してきました。
PCW:ブロブ、ハッシュ、ソルトといった、あまり聞き慣れない言葉が並んでいますが、これらの言葉は、データに実際に何が含まれていたのか、そしてそこから何が読み取れるのかという点で、どのような意味を持つのでしょうか?
ジーグリスト:ユーザーのメールアドレス、マスターパスワードの推測値、そしてソルトを組み合わせて、一方向性の計算を何度も繰り返すことができます。これらすべてを実行すると、ウェブサイトから直接サーバーにアクセスすることなく、そのデータからマスターパスワードの推測値が正しいかどうかを確認できるようになります。
脅威となるのは、誰かがそのプロセスにたどり着くと、比較的迅速に実行を開始し、毎秒数千ものパスワード候補をチェックできるようになることです。強力なマスターパスワードを作成すれば、ほぼ安全です。つまり、攻撃される可能性は低いのです。しかし、辞書に載っている単語を使った場合は、誰かが妥当な時間内に解読できる可能性があります。
[著者注:マスターパスワードは、ユーザーのLastPassアカウントを保護するために使用されるパスワードです。これを使用すると、アカウントにサインインし、ユーザーがLastPassサーバーに保存しているすべてのパスワードに直接アクセスできるようになります。]
PCW:では、事実関係を明確にしましょう。ユーザーが LastPass アカウントに保存したパスワードが漏洩される可能性は、今現在少しでもあるのでしょうか?
ジーグリスト氏:現段階では、そのような可能性はほとんどないと考えています。もしあるとすれば、私たちが確認したデータの量から判断すると、数百万人のユーザーのうち、そのような状況に陥る可能性のあるのは数十人程度でしょう。しかし、全てを把握していない限り、100%断言するのは難しいです。
そうは言っても、たとえば 100 個のアカウントのうち 1 つに弱いマスター パスワードが設定されている可能性は比較的低いです。
PCW:では、強力なマスター パスワードを持っているとしたら、この時点で心配する理由はあるでしょうか?
ジークリスト:いいえ。ありません。
PCW:現在、ユーザーにはどのような手順を踏むことを推奨していますか?
ジーグリスト:強力なマスターパスワードを使用していれば、たとえ何かが盗まれたとしても、心配する必要はありません。弱いマスターパスワードを使用していた場合は、多少リスクが高まる可能性がありますが、転送されたデータの総量から判断すると、100万分の1程度の確率です。弱いマスターパスワードを使用していた場合は、今すぐ強力なパスワードに変更し、最も重要なサイト(銀行やメールなど)を確認し、変更を検討するのが賢明でしょう。
[著者注: LastPass では予防措置として、一部のユーザーに対してサービスでマスター パスワードを変更することも要求しています。 ]
PCW:一部のユーザーから、アカウントがロックアウトされたり、サインイン時に保存したパスワードが消えたりするという報告があります。このような状況では何が起きているのでしょうか。また、どのような対処法をお勧めしますか。
Siegrist:基本的には、新しいパスワードを使用しているものの、パスワード変更前の古いデータがコンピュータに残っていると考えられます。再ログインするか、ローカルキャッシュをクリアすることをお勧めします。これはLastPassプラグインで実行できます。また、いつでもご連絡いただければ、サポートさせていただきます。
PCW:こうした状況を踏まえて、LastPass がセキュリティをさらに強化するためにどのような対策を講じているか教えてください。
ジーグリスト:サインインの際、すべてのユーザーに対し、以前アクセスしたIPアドレスであること、またはメールアドレスにアクセスできることを証明するよう求めています。これらの措置により、マスターパスワードを推測した人物が侵入する可能性を完全に排除できると考えています。
振り返ってみると、私たちは少し考えすぎていたかもしれませんし、私たち自身も警戒しすぎていたのかもしれません。本当のメッセージは、強力なマスターパスワードがあれば、どんな手段を使ってもデータが漏洩することはなかったということです。私たちが心配しているのは、弱いマスターパスワードを持つ人だけです。だからこそ、私たちはこうした対策を講じているのです。
影響を受けたサーバー上の多くのサービスは予防措置として停止されており、こちらについても引き続き調査中です。今のところ異常な点は見つかっていませんが、引き続き調査中です。
[著者注:LastPassは現在、自社のデータに対してより強力な暗号化規格を導入すると発表しました。技術的な詳細は同社のブログをご覧ください。]
PCW:今日の報道を見て、LastPass にパスワードを保存し続けることに不安を感じている人に何と言いますか?
ジーグリスト:データを一元的に保存するということは、常に何らかのリスクを伴います。とはいえ、強力なマスターパスワードを使用して適切に管理すれば、確実に自分自身を守ることができます。私たちは他の多くの企業よりも良い状況にあると考えていますが、それでもユーザーにある程度依存しており、その点をより容易にする必要があります。
私たち自身がユーザーだったらこうしてほしいと思うような対応をしようと努めました。そして、それが私たちの目指すところです。私たちは正しいことをするために最善を尽くしています。
JR RaphaelはPCWorldの寄稿編集者であり、Android Powerブログの著者でもあります。FacebookとTwitterで彼をフォローできます。
さらに興味深い点:
LastPass: セキュリティチャレンジ - パスワードの強度をテスト
最高のパスワードマネージャー:トップ4をレビュー
LastPassでパスワードを秘密に保ち、便利に使いましょう
