編集部からのお知らせ
RPA導入、もう1つのポイント
「ニューノーマルとIT」新着記事一覧

パスワード管理サービスのLastPassでデータ漏えい

Steven J. Vaughan-Nichols (ZDNet.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ)

2015-06-16 11:00

 クラウドベースのパスワード管理サイトLastPassでさえ、データ漏えいのリスクを免れることはできなかった。

 LastPassの最高経営責任者(CEO)Joe Siegrist氏は米国時間6月15日付のブログ投稿で、ネットワーク上で不審な挙動を発見、調査した結果、アカウントのメールアドレス、パスワードリマインダ、ユーザーごとのサーバのソルト値、および認証ハッシュの情報が漏えいしたことことが分かったと述べた。

 ただし、「暗号化されたユーザーボールト(保管庫)のデータが盗まれた形跡も、LastPassのユーザーアカウントがアクセスを受けた形跡もない」とSiegrist氏は述べている。

 また、Siegrist氏は、盗まれたデータについて次のように説明している。

 「当社の暗号化対策は大多数のユーザーを保護するに十分なものであると確信している。LastPassでは、認証ハッシュを強化するために、ランダムなソルトと繰り返し回数が10万回のサーバサイドPBKDF2-SHA256(パスワードベースの暗号鍵導出関数2-セキュリティハッシュアルゴリズム256)を使用しており、さらにクライアント側でも繰り返し計算を実行している。この追加の強化策により、問題となるほど短期間の内に盗み出されたハッシュを攻撃することは困難だ」

 パスワード強化アルゴリズムのPBKDF2-SHA256は、総当たり攻撃によってLastPassのマスターパスワードを破ることを非常に難しくしている。また、このアルゴリズムは、コンピュータなどのデバイスでマスターパスワードを暗号鍵に変換するときにも使用されている。

 では、これで心配はないかと言えば、そうでもない。弱いマスターパスワードを使用しているユーザーは、やはり危険に晒されている。LastPassでは、弱いパスワードをただちに更新するとともに、その弱いパスワードを他のサイトで流用している場合は、それらのパスワードも変更することを勧めている。

 LastPassのある従業員の説明によれば、「弱いパスワード」とは「単一の単語で構成されたパスワード」のことだという。何かの名前など、英語の辞書に載っているような単語だ。

 LastPassでは、パスワードをさらに保護するため、「多要素認証を有効にしている場合を除き、新しいデバイスやIPアドレスから初めてログインしようとするすべてのユーザーに対して、メールで自分のアカウントを確認することを義務付ける」ことにしたと、ブログには書かれている。

 暗号化されたユーザーデータは盗まれていないため、LastPassでは、ユーザーが保管している各サイトのパスワードを変更する必要はないと考えている。したがって、マスターパスワードが破られた場合を除き、「LastPassのボールトで保存されているサイトのパスワードを変更する必要はない」と説明している。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    セキュアなテレワークでビジネスを継続する「緊急時対応チェックリスト」

  2. クラウドコンピューティング

    ゼロトラストネットワークアクセス(ZTNA)を今すぐ採用すべき理由

  3. ビジネスアプリケーション

    今からでも遅くない、在宅勤務への本格移行を可能にする環境整備のポイント

  4. クラウド基盤

    アプリ開発者とIT管理者、両者のニーズを両立させるプラットフォームとは?

  5. ビジネスアプリケーション

    テレワークに立ちはだかる「紙・ハンコ」の壁を経費精算のペーパーレス化からはじめて乗り越える

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]