オンラインパスワード管理サービス「LastPass」のユーザーの一部が、マスターパスワードが漏洩したようだと報告していることが分かりました(9to5Google)。ただしLastPass側はマスターパスワードが漏洩した事実はないと否定しています。
現在、複数のLastPassユーザーが、何者かが自分のマスターパスワードを使って、自分のアカウントにアクセスしたという報告を、メールアラートによって通知されるという恐ろしい状況を体験している模様。幸いなことにログインが試行された地域の制限によってアカウントへのアクセス自体はブロックされているようです。
Someone tried my @LastPass master password earlier yesterday and then someone just tried it again a few hours ago after I changed it. What the hell is going on?
— Valcrist (@Valcristerra) December 28, 2021
LastPassは、他のパスワード管理ソフトと同様に、ユーザーのパスワードを解除する鍵として「マスターパスワード」を使用します。パスワードやその他の機密データは暗号化されて同社のサーバーに保存されますが、マスターパスワードは保存されません。
LastPassはHow-To-Geekへの声明の中で、現在のところ第三者がLastPassのセキュリティを侵害した兆候はないと主張し、むしろ影響を受けたユーザーが他のサービスで使用しているのと同じマスターパスワードを使っている事が原因になっている可能性があると説明しています。
LastPass investigated recent reports of blocked login attempts and determined the activity is related to fairly common bot-related activity, in which a malicious or bad actor attempts to access user accounts (in this case, LastPass) using email addresses and passwords obtained from third-party breaches related to other unaffiliated services. It’s important to note that we do not have any indication that accounts were successfully accessed or that the LastPass service was otherwise compromised by an unauthorized party. We regularly monitor for this type of activity and will continue to take steps designed to ensure that LastPass, its users, and their data remain protected and secure.
LastPassは、ログイン試行がブロックされたという最近の報告を調査し、この活動は、悪意のあるまたは悪質な行為者が、他の無関係なサービスに関連する第三者の侵害から得たメールアドレスとパスワードを使ってユーザーアカウント(この場合はLastPass)にアクセスしようとする、かなり一般的なボット関連の活動であると判断しています。なお、アカウントへのアクセスが成功した、あるいはLastPassのサービスが不正に利用されたという事実はございません。私たちは定期的にこのような行為を監視し、LastPassとそのユーザー、そしてそのデータの保護と安全を確保するための措置を取り続ける予定です。
ただし今回のケースでは、一部のユーザーは、LastPassで完全に一意なパスワード使用し、マスターパスワードを変更しても再びアカウントにアクセスされたと報告しています。LastPassを使用している場合、今すぐパスワードを変更し、機密性の高いパスワードを設定しておいた方がより安全だと言えそうです。