ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
https://gigazine.net/news/20221223-lastpass-password-hacking/
https://gigazine.net/news/20221201-lastpass-hackers-accessed-customer-data/
https://news.mynavi.jp/techplus/article/20221223-2544442/
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
ニュース概要
– 12月22日(現地時間)、パスワード管理サービスLastPassより、8月および12月1日に発生した不正アクセスにより、暗号化されたパスワードを含むユーザーのデータが奪取されていたと発表されました。
– 同社では8月に不正アクセスを受けた時点でその旨を発表しており、その際にはソースコードや技術情報の一部が流出し、ユーザーに関連する情報の流出はなかったとしていました。
– しかしこの時点で流出した情報をもとに12月に再び不正アクセスが発生し、ユーザーの個人情報と、ユーザーが保存したパスワードが暗号化したデータが奪取されたことが今回発表されています。
– なお暗号化されたパスワードデータは、ユーザーが入力するマスターパスワードを基にした鍵で保護されているとのことです。
AUSからの所感
LastPassはオンライン上でパスワードを管理するサービスとしてもっとも著名なものの一つであり、これまでも度々攻撃者からターゲットとされていました。
攻撃者は8月の不正アクセスで得た情報をもとにLastPass従業員のアカウントを奪取し、バックアップデータが保存されたクラウドストレージにアクセスしたとみられ、本番環境は影響を受けていないとのことです。
マスターパスワードが、他のWebサービス等と共有していない、十分に強力なパスワードである限りは、暗号化が解除される可能性は低いですが、LastPassではマスターパスワードを聞き出すフィッシングの可能性に注意を呼び掛けています。
LastPassと同様のサービスとしてBitWardenや1password等が知られており、またサービスが所有するサーバーにデータを保存することが心もとないのであれば、ローカル上にのみ、あるいは自分が契約したクラウドストレージ上にパスワードを保存できるツールとしてKeePass等がありますが、暗号化したデータが万が一奪取された場合を考え、マスターパスワードだけは決して簡単な文字列を使わないよう留意が必要です。
