(画像は同社CEOのBlogをDeepL翻訳で日本語にしたものです)
皆さんこんにちは。
プライバシーザムライ中康二です。
今のクラウド時代においては、複数のサービスに同じパスワードを使いまわしすることは最も危険な行為となりますから、それを避けるためにはいわゆる「パスワード管理ツール」を使うことが必須となります。パスワード管理ツールを使うことで、私たちは記憶の限界を超えて、一つ一つのサービスごとに異なるパスワードを保存できるのです。
そのため、現在たくさんのパスワード管理ツールが存在していますが、そこには利用者のアカウントとパスワードが保存されていることから、常に不正アクセスの対象とされ、提供事業者は不正アクセスとの戦いを続けることになります。
その中の一つに「LastPass」というパスワード管理ツールがあります。
LastPassは、10年以上の歴史を持ち、ほとんどのブラウザで使用できて、スマホアプリもあるため、かなり利用者が多いパスワード管理ツールのひとつです。
このLastPassに対しても、過去から不正アクセスが何回も試みられ、その度にLastPass社は「利用者の登録したアカウントとパスワードは流出していない」との説明を行ってきました。
この流れが変わったのが、2022年8月にソースコードが流出したことです。ソースコードというのは、プログラムそのものの元となるテキストファイルのことで、これを解析すれば、どこに穴があるのか、どういう攻撃をすれば不正アクセスが可能になるかを知ることができるものです。
ソフトウェアの世界には二つの考え方があります。一般的にLastPassのような商業ソフトウェアはソースコードを非公開にすることで不正アクセスを防ぐという考え方を採用しています。一方で、オープンソースというソフトウェアはむしろソースコードを公開することで、みんなで問題をつぶしていって完成度を高めていくというものです。
LastPassの場合は、本来非公開のはずのソースコードが流出してしまったのですから、どこから攻撃を受けてもおかしくない状態になっていたと思います。
そしてそれが現実のものになりました。2022年12月、LastPass社は自社のバックアップサーバに不正アクセスがあり、利用者の登録したアカウントとパスワードなどを含むバックアップファイルが漏洩したと発表しました。
ただし、利用者が登録したアカウントとパスワードなどの情報は、利用者のマスターパスワードで暗号化されており、利用者のマスターパスワードはLastPass社としても保存していないことから、悪用される心配はないと説明しています。
とはいえ、LastPass社のセキュリティが大変危うくなっていることに変わりはありません。同社では2022年8月のソースコード流出以降、開発環境を再構築したり、様々な対策を取っているとしていますが、ソースコードが流出している以上、不正アクセスとの戦いにおいて劣勢は避けられないと思います。
結論として、私としては今後、Lastpassの利用は推奨しないものとします。現在利用されている方も早めに他のパスワード管理ツールに移行されることをお勧めします。
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
皆様にも何かの参考になればと思います。
また、新しい情報が入りましたら、皆様にシェアいたしますね。
※なお、利用者の方にはアカウント削除をおススメしたいところですが、どうもアカウント削除をしようとするとうまく画面が出てこない場合があるようです。その場合にはアカウント「リセット」という機能を使うことで、登録したパスワード情報を一括消去してくれるようです。ご参考まで。