LastPassは先日、2022年8月に行われたセキュリティ攻撃によって、顧客のパスワード保管庫のファイルが流出したと衝撃的な発表を行いました。
同社は、パスワード保管庫はマスターパスワードによって暗号化されており、ログイン情報は依然として安全だと主張していますが、一部のサイバーセキュリティ専門家は、この発表によってユーザーが実際よりも安全だと感じる可能性があるとし、激しく批判している事がわかりました(The Verge)。
まず、AdBlock Proの開発などに携わったことで知られるセキュリティ研究者Wladimir Palant氏は、LastPassの12月22日の声明は「全くのウソでいっぱいだ」とブログで批判しています。
LastPassは8月に発生した事件を「ソースコードと技術情報が盗まれた」事件だと説明しているものの、実際は「封じ込めに失敗した」事件だとし、流出したデータに「顧客がLastPassサービスにアクセスしていたIPアドレス」が含まれていたことをLastPassが認めたことを強調しています。LastPassが顧客の使用したすべてのIPアドレスを記録していた場合、攻撃者は顧客の「完全な動作プロファイルを作成」できるようになるからです。
別のセキュリティ研究者であるJeremi Gosney氏は、Mastodonに長い投稿を行い、LastPassの「zero knowledge」は全くのウソで、パスワードの管理者が知っているのと同じ程度の知識をLastPassを有していると主張しています。サイトにログインする度にイベントが生成され、どのサイトにログインしているかを追跡するためだけに情報がLastPassに送信されるからです。
LastPass's claim of "zero knowledge" is a bald-faced lie. They have about as much knowledge as a password manager can possibly get away with. Every time you login to a site, an event is generated and sent to LastPass for the sole purpose of tracking what sites you are logging into. You can disable telemetry, except disabling it doesn't do anything - it still phones home to LastPass every time you authenticate somewhere. Moreover, nearly everything in your LastPass vault is unencrypted. I think most people envision their vault as a sort of encrypted database where the entire file is protected, but no -- with LastPass, your vault is a plaintext file and only a few select fields are encrypted. The only thing that would be worse is if...
LastPassの言う「知識ゼロ」は真っ赤な嘘です。LastPassは、パスワード管理者が知り得る限りの知識を有しています。あなたがサイトにログインするたびに、イベントが生成され、どのサイトにログインしているかを追跡するためだけにLastPassに送信されます。テレメトリーを無効化することもできますが、無効化しても何も起こりません - どこかで認証するたびにLastPassに電話がかかってきます。さらに、LastPassのデータ保管庫にあるものは、ほとんどすべて暗号化されていません。多くの人は、データ保管庫をファイル全体が保護された暗号化されたデータベースのようなものと想像していると思いますが、そうではありません -- LastPassでは、あなたのデータ保管庫は平文のファイルで、いくつかの選択されたフィールドだけが暗号化されています。もし、もっと悪いことがあるとすれば...。
マスターパスワードをLastPassが知らないことに関しては異議はないものの、データ保管庫全体が暗号化されているわけではなく、特定のフィールドだけが暗号化され、全体は平文のファイルとして保存されているのは問題だと指摘しています。
さらにマスターパスワードの設定に関しても、2018年に12文字のパスワードがデフォルトとなったものの、それ以前に作られた8文字のパスワードを使用しているユーザーに対して警告は行わわれておらず、強度の低いパスワードを使っている顧客のマスターパスワードは解析可能な状態にあると指摘されています。