ユーザーの皆様へセキュリティに関する重要な最新情報

Update March 25, 2017 (5:00pm): Our team is currently investigating a new report by Tavis Ormandy and will update our community when we have more details. Thank you.

インシデント レポート :2017 年 3 月 22 日 (午後 2:30)

Google 社 Project Zero チームのセキュリティ研究員 Tavis Ormandy 氏から最近報告された脆弱性についての最新情報をお知らせします。

この投稿は長文なので、以下の概要から要点を把握するだけでもかまいません。もちろん、以降の全体的な説明に目を通して詳細を把握することもできます。

概要

  • セキュリティ研究員 Tavis Ormandy 氏が 2 つの脆弱性を発見しました。
  • 弊社がこれまで調査を行ったところ、機密性の高いユーザー データが消失した、あるいは侵害されたといった事実は確認されていません。
  • パッチを適用した拡張機能をユーザーに再リリースします。
  • Android および iOS のモバイル アプリには影響しません。
  • マスター パスワードを変更する必要はありません。
  • サイト資格情報のパスワードを変更する必要はありません。
  • 最新バージョンを実行していることを確認します。
    • ほとんどのユーザーは自動的に更新されますが、最新バージョンは com/download からいつでもダウンロードできます。
    • 現在のバージョンを確認するには、LastPass アイコン > [その他のオプション] > [LastPass について] を選択してください。
      • Firefox : 4.1.36
      • Chrome : 4.1.43.82
      • Edge : 4.1.30 (Microsoft 社の承認待ち)
      • Opera : 4.1.28 (Opera 社の承認待ち)

状況

この 1 週間、Google 社 Project Zero の研究員 Tavis Ormandy 氏から、多数の LastPass ブラウザ拡張機能に影響する 2 つの脆弱性が報告されました。この脆弱性は、個人ユーザーとビジネス ユーザーの両方に影響します。

この脆弱性を悪用するには、まず、ユーザーを不正な Web サイトに誘導する必要があります。Tavis 氏は、信頼できるパーティとして表示される不正な Web サイト上で、LastPass API が呼び出される仕組みや、任意のコードが実行される仕組みを実際に示しました。これらが実行されると、LastPass アカウントからユーザーのログイン資格情報などが引き出されて公開される恐れがあります。

Firefox 向け LastPass 3.3.2 でメッセージが盗まれるバグ

報告内容 :
Firefox 向け LastPass 3.3.2 の URL 解析プロセスに基づいて、不正な Web サイトが正規の Web サイトになりすまし、LastPass アドオンを騙してユーザーのサイト資格情報を提供させる恐れがあります。

このバグは昨年弊社チームに報告され、その時点で修正されています。ただし、従来の Firefox 向け LastPass 3.3.x ブランチには修正が適用されていません。このブランチは 4 月に正式に廃止されることが決まっています。

要点 :

  • 弊社はこの報告を受ける前に、Firefox 向け LastPass のx ブランチの廃止を発表したばかりです。
  • com/download から Firefox 向け LastPass 4.1.36 に更新することを強くお勧めします。Firefox 向け LastPass 3.3.4 にも更新できますが、前述のとおり、3.x バージョンは今後数週間のうちに廃止されます。

Web サイト コネクタのバグ

報告内容 :
ユーザー オンボーディング機能のコードが表示されるクライアント (Chrome、Firefox、Edge) に、その機能のアーキテクチャの問題が影響します。信頼できるパーティを装う不正な Web サイトに LastPass が騙されて、サイト資格情報が盗み出される恐れがあります。LastPass バイナリ コンポーネントを実行しているユーザー (LastPass ユーザー層の 10% 未満) は、不正な Web サイトに誘導されてリモート アクセスを悪用される可能性があります。

このバグが最初に報告されたのは、弊社がユーザーに試験的なオンボーディング機能をリリースした 2016 年 8 月です。ただし、このコードは事実、すべての Chrome、Firefox、Edge LastPass クライアントに存在します。

この脆弱性が報告されると、LastPass チームはすぐにそのサービスを停止し、影響の及ぶ全クライアントの更新作業を始めました。

弊社がクライアント側の修正に取り組んでいる間に、Tavis 氏はさらに別の問題をツイートしました (このツイートはすでに削除されています)。明確に説明すると、これは 2 種類のブラウザ間で共通する問題です。そのため、問題数と修正の状況にいくらか混乱が生じました。

要点 :

  • 弊社は、影響の及ぶ全クライアントを更新して脆弱性を完全に除去したうえで、新しいクライアントをすべてのユーザーに再リリースしました。
  • Chrome 向けと Firefox 向けはすでに入手可能になっていますが、Edge 向けと Opera 向けはアプリ ストアの承認待ちです。
  • このプロセスの一環として、このコードを利用する他のすべての拡張機能 (インストーラを含む) も徹底的に調査しました。

この問題を時系列で確認 (米国東部標準時):

Firefox 向け LastPass 3.3.2 でメッセージが盗まれるバグ

  • 3 月 10 日 : LastPass が Firefox 向け LastPass 3.3.x バージョンの正式な廃止を発表する
  • 3 月 15 日午後 10:45 : Firefox 向け LastPass 3.3.2 でメッセージが盗まれる脆弱性が報告される
  • 3 月 15 日午後 10:48 : LastPass が Firefox 向け LastPass 3.3.2 のバグの報告を受け、調査を開始する
  • 3 月 17 日午前 8:43 : LastPass が Mozilla 社に Firefox 向け LastPass 3.3.4 のパッチを提供する

Web サイト コネクタのバグ

  • 3 月 20 日午後 7:20 : Chrome 向け LastPass 4.1.42 の Web サイト コネクタのバグが報告される
  • 3 月 20 日午後 7:36 : LastPass の各種機能のセキュリティ調査が開始される
  • 3 月 21 日午前 12:15 : LastPass が問題のサービスをサーバー側で停止する
  • 3 月 21 日午前 7:04 : LastPass がサーバー側の対策を発表する一方で、コードを徹底的に分析し、クライアント側の問題を完全に解決する
  • 3 月 22 日午前 12:10 : LastPass が修正済みの Firefox 向け LastPass 4.1.36 をリリースする
  • 3 月 22 日午後 12:07 : LastPass が修正済みの Chrome 向け LastPass 4.1.43.82 をリリースする
  • 3 月 22 日午後 1:55 : LastPass がリリース版 Edge 向け LastPass 4.1.30 を提供する
  • 3 月 22 日午後 2:49 : LastPass が修正済みの Opera 向け LastPass 4.1.28 をcom/download にリリースする (ストアのリリース待ち)

個人セキュリティに関する推奨事項に従う際の注意点

LastPass ユーザーは推奨事項に準拠しようとするでしょうが、自身のコンピュータを保護し、データを安全に保管するためには以下の点に注意してください。

  • フィッシングに注意します。知らない人や、普段信頼している担当者や会社から送られたものとは思えないようなリンクをクリックしないでください。
  • オンラインで使用するアカウントは、そのアカウントごとに異なる独自のパスワードを使用します。
  • LastPass アカウントには強力で安全なマスター パスワードを使用します。また、マスター パスワードは決して他人に教えないでください (もちろん、弊社にも教えないでください)。
  • LastPass だけでなく、銀行のサービスや電子メール、Twitter、Facebook など他のサービスでも 2 段階認証を使用します。
  • 常に最新状態に更新されたアンチウイルス ソフトウェアを実行して、コンピュータをクリーンな状態に保ちます。

弊社の今後の取り組みについて

今後このような問題を防ぐために、コード レビューおよびセキュリティ プロセスを強化し、特に、新しい機能や試験的な機能については徹底的に確認を行っていきます。

弊社のサービスにとってセキュリティが欠かせないことは言うまでもありません。これらの問題に対して透明性のある対応を心がけており、Project Zero の Tavis 氏や他の研究員の成果を高く評価しています。責任をもってバグを公開することは、弊社にとって何よりもメリットであり、LastPass がいっそう強化されていくものと確信しています。弊社は、https://bugcrowd.com/lastpass のバグ バウンティ プログラムを通じて研究員の皆様から寄せられる報告を喜んで受け付けます。

———-

2017 年 3 月 22 日 (午前 11:12)

この 1 週間、弊社は Google 社のセキュリティ研究員 Tavis Ormandy 氏と共に、報告された脆弱性の調査と修正を行いました。ユーザーの皆様にできるだけ詳しい情報を提供できるよう、徹底的な調査を行っていたため、対応に遅れが生じたことをお詫び申し上げます。間もなく事後分析を公開しますが、弊社コミュニティで概要を共有したいと考えています。

状況
3 月 20 日の夜、Chrome 向け LastPass 4.1.42.80 拡張機能についての問題が報告されました。すぐに調査し、2 ~ 3 時間後にはサーバー側での対策をリリースしました。この問題は、試験的なユーザー オンボーディング機能がリリースされた全 LastPass クライアント (Chrome、Firefox、Edge) に該当するものです。

翌 3 月 21 日、今度は Firefox 向け LastPass 4.1.35a についての報告が入りました。実際には、この脆弱性の大部分は、前日に報告された脆弱性と同じものであり、Firefox 向け LastPass 4.x アドオンに影響します。当初、この問題には包括的な修正で対応する予定でしたが、その修正をリリースする前に問題が報告されたため、本日午前 12:15 (東部標準時) に提供する Firefox 向け LastPass 4.1.36a によって別途対応します。

この修正は全ユーザーにプッシュされ、ほとんどは自動的に更新されます。

これらの脆弱性が悪用されて実際に被害が出ているといった事実は確認されていませんが、現在詳しい調査を進めています。詳細がわかり次第、より包括的な状況説明と要点をお知らせします。現時点で、ユーザーの皆様がパスワードを変更する必要はありません。