Menu

LastPassのセキュリティ侵害により、暗号化された顧客のパスワード保管庫が漏洩

  • Howero
  • abmhh
  • 0 comments
LastPassのセキュリティ侵害により、暗号化された顧客のパスワード保管庫が漏洩
Androidで動作するLastPass
(画像提供:Windows Central | LastPass)

知っておくべきこと

  • パスワード管理ソフトウェアLastPassのクラウ​​ドサーバーが2022年8月に侵害を受けた。
  • パスワード保管庫、名前、IPアドレス、請求先住所、電話番号などの顧客データは、攻撃中に盗まれたことが最近確認されたデータの中に含まれています。
  • LastPass は、256 ビット AES 暗号化により、攻撃者が盗まれた顧客のパスワード保管庫にアクセスする可能性が低くなると説明しています。
  • 盗まれたデータにはクレジットカード情報は含まれておらず、安全な場所に別途保管されていました。

デスクトップパソコンとモバイルデバイスのウェブブラウザ向けに設計されたパスワード管理ソフトウェアであるLastPassは、クラウドストレージサーバーとデジタル顧客保管庫の暗号化データへの不正侵入の詳細を確認しました。2022年8月、LastPassは顧客データへのアクセスはなかったものの、犯人が同社のソースコードやその他の従業員の機密情報を盗んだと発表しました。

LastPassは新しいブログ投稿で、透明性への取り組みを強化するため、今回の侵害に関する詳細情報を公開しました。単一の脅威アクターによる攻撃により、認証情報が乗っ取られ、社内の他の従業員が標的となり、バックアップクラウドストレージネットワーク上のストレージデバイスの復号鍵へのアクセスを取得しました。これらのバックアップには、会社名、エンドユーザー名、請求先住所、メールアドレス、電話番号、IPアドレスなどの顧客データが含まれています。

サービスに保存されたすべてのパスワードはデジタルボールトに保存されますが、LastPassは顧客データへの重大な脅威の証拠はないと主張しています。プライマリサーバーとバックアップサーバーに保存されるすべてのデータは256ビットAES暗号化を使用しており、ユーザーはマスターパスワードから生成された一意のキーでのみアクセスできます。LastPassはゼロ知識アーキテクチャに基づき、これらのマスターパスワードをどこにも保存しません。

LastPass の侵害による影響を受けますか?

LastPassは、クレジットカード番号の完全な情報は保存しておらず、情報は影響を受けたバックアップサーバーとは別に保管されていると主張しています。ハッカーはブルートフォース攻撃によって盗み出したデータにアクセスしようとする可能性がありますが、暗号化方式により成功する可能性は極めて低いと考えられます。

お客様がマスターパスワードのベストプラクティス(大文字と小文字の混在や特殊文字を含む英数字の文字列の使用など)に従っている場合、コードを解読するには数百万年かかる可能性があります。個人情報へのリスクが懸念される場合は、慎重に行動する必要がありますので、パスワードの変更は依然として推奨されます。

次に何が起こるでしょうか?

このような侵害の再発リスクを排除するため、LastPassは開発環境を全面的に再構築し、厳格なプロセスと認証メカニズムを導入しました。また、クラウドバックアップストレージ内での不審なアクティビティの特定に注力しています。さらに、安全対策を更新し、侵害によってアクセスされたデータを正確に特定し、法人顧客への推奨対応策のアドバイスも行っています。

念のため、法執行機関に通報し、その他の関係当局も捜査に関与しています。LastPassは今後もアップデートを予定していますが、既存のお客様のシステムは通常通り動作します。LastPassから直接連絡を受けていない場合は、公式アプリまたはサポートウェブサイトからご連絡いただき、ご不明な点についてお問い合わせください。

Windows と Xbox の熱狂的なファンのための最新ニュース、レビュー、ガイド。

Windows Centralの見解

パスワードの漏洩はどれも懸念材料ですが、LastPass の包括的な対応と透明性はいくらか安心感を与えてくれます。256 ビット暗号化は、適度に安全なマスター パスワードであれば、ブルート フォース アクセスの試みから顧客の金庫を安全に保護できることを意味しますが、影響を受けるユーザーは、安全のために重要なログイン情報を変更する必要があります。

今回の情報漏洩でLastPassの代替となる最適なパスワードを探している方は、Windows Centralの同僚がEnpassBitwardenを使ってパスワードをバックアップしているのをご存知でしょうか。どのサービスを選ぶにしても、サービスが受け付けるパスワードは、文字、数字、記号を組み合わせた長くて複雑な文字列にするようにしてください。

ベンはWindows Centralのシニアエディターとして、テクノロジーのハードウェアとソフトウェアに関するあらゆる情報を網羅しています。最新のWindowsノートパソコン、カスタムゲーミングデスクトップの内部コンポーネント、そしてPCやXboxと互換性のあるあらゆるアクセサリを定期的にハンズオンで使用しています。ガジェットを分解して仕組みを解明することに生涯を捧げてきたベンは、家電量販店とテクニカルサポートで10年間の経験を積んだ後、テクノロジー専門のジャーナリズムの道へと進みました。