パスワード管理サービス「LastPass」は8月25日(現地時間)、ソースコードの一部と「LastPass独自の技術情報」がハッカーによって外部に持ち出されたことを発表しました(The Verge)。
LastPassは2週間前、開発環境の一部で異常な動きがあること発見し、直ちに調査を開始。ハッカーが顧客データや暗号化されたパスワードにアクセスした証拠はみつかっていないと説明しています。
同社は封じ込めと緩和策を展開し、追加のセキュリティ対策を実施し、現在は、不正な活動は行われていないとしています。ユーザーの情報は持ち出されていないため、マスターパスワードの変更など、LastPassのユーザーが行わなければならない作業は特にありません。
1. Has my Master password or the Master Password of my users been compromised?
1. 私のマスターパスワード、または私のユーザーのマスターパスワードが漏洩したのでしょうか?
No. This incident did not compromise your Master Password. We never store or have knowledge of your Master Password. We utilize an industry standard Zero Knowledge architecture that ensures LastPass can never know or gain access to our customers’ Master Password. You can read about the technical implementation of Zero Knowledge here.
いいえ。今回の件で、お客様のマスターパスワードが漏えいしたわけではありません。お客様のマスターパスワードを保存したり、知ることは決してありません。業界標準のゼロナレッジアーキテクチャを採用し、LastPassがお客様のマスターパスワードを知ることもアクセスすることもできないようにしています。ゼロナレッジの技術的な実装についてはこちらでご覧いただけます。
ハッカーがLastPassのソースコードにアクセスできたとしても、LastPassのセキュリティが即座に破られることは意味しておらず、例えばMicrosoftは、セキュリティがソースコードが非公開であることに依存しておらず、誰かにソースコードを除かれたとしてもリスクはないはずだと説明しています。
今回の「セキュリティ事件」によってLastPassに保存したパスワードがすぐに危険になるわけではなさそうですが、LastPassではこれまでにも多数の「セキュリティ問題」が発生しており、ユーザーが他のサービスに異動する契機となる可能性はあります。