パスワード再利用攻撃から LastPass ユーザーを守るには

ここ数週間、ニュースで何度も耳にされている思いますが、 最近 LinkedInMySpace といった多くの大手ブランドが、データ流出やセキュリティ インシデントなどの被害を受けました。このような大規模なデータ流出により、今や何百万ものユーザー名やパスワードが世の中に出回り、誰でも悪用できる状態にあります。そして攻撃者がこれらの資格情報を最も簡単に利用できる方法は、同じユーザー名とパスワードの組み合わせで組織的に他の Web サイトへのログインを試みることです。

多くの人がパスワードを頻繁に再利用しているため、攻撃者は「パスワード再利用攻撃」として知られている攻撃で、他の Web サイトのアカウントにすぐアクセスできてしまいます。アクセスされた Web サイトそのものにセキュリティ上の問題がなくても、同じパスワードをあちこちの Web サイトで使っていたため、今やユーザーは危険にさらされています。Lastpass は幸運にも最もよく利用されているパスワード マネージャの一つですが、かと言って私たちのサービスがこうした攻撃から除外されるわけではありません。そしてパスワードの再利用は(危険であるにもかかわらず)実によく行われているため、それがたとえユーザーに面倒なことを強制することになっても、私たちはユーザーを守るためにできる限りの対策を講じています。

Web サイトがハッキングされると、セキュリティ技術者チームが頻繁にWeb を監視し、流出したユーザー名とパスワードを探すのはそのためです。新たな流出を認識すると、私たちはただちに流出したユーザー名やパスワードのリストを手に入れ、当社のユーザー ベースと照らし合わせて LastPass アカウントと一致するものがないか調べます。もし一致があれば、すぐにアカウントを無効にしてユーザーの保管庫 (Vault) を保護します。LastPass のチームはユーザーを事前に守るために、何年も前からこうした取り組みを行っています。

LastPass が実際に講じた対策とは?

最近起こった LinkedIn の事例では、データ侵害そのものが起こったのは数年前ですが、ユーザー名とパスワードのリストが今になってオンライン上に流出しました。対応策として、当社は流出した資格情報と一致した LastPass ユーザーのアカウントを無効にしました。ここではっきりさせておきたいのですが、 LastPass にセキュリティ侵害やセキュリティ上の問題はありません。これは、他の侵害された Web サイトでパスワードを再利用したユーザーを守るために当社側で講じた予防策にすぎません。

LastPass はユーザーのマスター パスワードを保存しません

LastPass は決してユーザーのマスター パスワードを保存しません。パスワードが他の Web サイトから流出した場合、LastPass はそのデータを使ってスクリプトでログインの試みをシミュレートします。スクリプトは、ログイン時に LastPass が使用する標準 PBKDF2 ハッシュを行い、入力したパスワードが正しいかどうかを知らせます。その後、残りのスクリプトをデータ ベースに保存されているパスワード ハッシュと比較します。パスワード ハッシュが一致する場合、パスワードが LastPass のアカウントで再利用されたということなので、アカウントは無効となります。

LastPass ユーザーができること

もしお使いのアカウントが無効になった場合、信頼済みの場所からログインしてアカウントを確認し、再度有効にするよう求められます。アカウントを再度有効にするには、次の手順に従ってください。

1.Web 上の保管庫 (Vault) https://lastpass.com/ からログインします

2.再度有効にするためのプロセスが起動します

3.そこから拡張機能または web 上の保管庫 (Vault) 経由でログインすると、マスター パスワードをリセットするよう指示されます。

ログインする際、アカウントが無効になっているというメッセージが表示されたら、https://lastpass.com に移動して確認プロセスを開始してください。未知のデバイスや新しい場所からログインする場合は、以前使用した信頼済みデバイスまたは前回アカウントにアクセスした場所 (IP アドレス) からログインするよう指示されます。

完了すると、アカウントが解除され、マスター パスワードをさらに強固なものに更新できます。

その際、LastPass セキュリティ チャレンジを使って保管庫 (Vault) をスキャンし、パスワードを再利用している Web サイトが他にないか調べることを強くお勧めします。LastPass はこれらのパスワードを、強力かつ固有のパスワードに変更します。たとえ LastPass のマスター パスワードを再利用していなくても、この機会にセキュリティ チャレンジに挑戦し、お使いの Web サイトすべてに固有のパスワードを使っているかどうか確認してみるとよいでしょう。