パスワード管理サービスのLastPassでデータ漏えい

Steven J. Vaughan-Nichols (ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ)

2015-06-16 11:00

 クラウドベースのパスワード管理サイトLastPassでさえ、データ漏えいのリスクを免れることはできなかった。

 LastPassの最高経営責任者(CEO)Joe Siegrist氏は米国時間6月15日付のブログ投稿で、ネットワーク上で不審な挙動を発見、調査した結果、アカウントのメールアドレス、パスワードリマインダ、ユーザーごとのサーバのソルト値、および認証ハッシュの情報が漏えいしたことことが分かったと述べた。

 ただし、「暗号化されたユーザーボールト(保管庫)のデータが盗まれた形跡も、LastPassのユーザーアカウントがアクセスを受けた形跡もない」とSiegrist氏は述べている。

 また、Siegrist氏は、盗まれたデータについて次のように説明している。

 「当社の暗号化対策は大多数のユーザーを保護するに十分なものであると確信している。LastPassでは、認証ハッシュを強化するために、ランダムなソルトと繰り返し回数が10万回のサーバサイドPBKDF2-SHA256(パスワードベースの暗号鍵導出関数2-セキュリティハッシュアルゴリズム256)を使用しており、さらにクライアント側でも繰り返し計算を実行している。この追加の強化策により、問題となるほど短期間の内に盗み出されたハッシュを攻撃することは困難だ」

 パスワード強化アルゴリズムのPBKDF2-SHA256は、総当たり攻撃によってLastPassのマスターパスワードを破ることを非常に難しくしている。また、このアルゴリズムは、コンピュータなどのデバイスでマスターパスワードを暗号鍵に変換するときにも使用されている。

 では、これで心配はないかと言えば、そうでもない。弱いマスターパスワードを使用しているユーザーは、やはり危険に晒されている。LastPassでは、弱いパスワードをただちに更新するとともに、その弱いパスワードを他のサイトで流用している場合は、それらのパスワードも変更することを勧めている。

 LastPassのある従業員の説明によれば、「弱いパスワード」とは「単一の単語で構成されたパスワード」のことだという。何かの名前など、英語の辞書に載っているような単語だ。

 LastPassでは、パスワードをさらに保護するため、「多要素認証を有効にしている場合を除き、新しいデバイスやIPアドレスから初めてログインしようとするすべてのユーザーに対して、メールで自分のアカウントを確認することを義務付ける」ことにしたと、ブログには書かれている。

 暗号化されたユーザーデータは盗まれていないため、LastPassでは、ユーザーが保管している各サイトのパスワードを変更する必要はないと考えている。したがって、マスターパスワードが破られた場合を除き、「LastPassのボールトで保存されているサイトのパスワードを変更する必要はない」と説明している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]