ニュース

パスワード管理サービスの「LastPass」に攻撃、ユーザーには予防的措置としてマスターパスワードの変更を勧告

 パスワード管理サービスのLassPassは15日、同社のネットワークに不審な挙動が発見され、ユーザーのメールアドレスやパスワードリマインダーなどが危険にさらされたことを公表した。

 LastPassの公式ブログに投稿された内容によると、同社のチームがネットワークに対する不信な挙動を発見し、ブロックした。調査の結果、ユーザーのメールアドレス、パスワードリマインダー、ユーザーごとのソルト値、認証ハッシュなどが危険にさらされたが、暗号化されたユーザーデータは盗まれておらず、アカウントへの不正アクセスが行われた形跡もないとしている。

 LastPassでは、「実施している暗号化対策は大半のユーザーを保護するのに十分であると確信している」として、ハッシュが盗まれた場合でも攻撃を成功させることは困難だと説明。さらに安全を高めるための追加措置として、多要素認証が有効になっていないユーザーに対しては、新しいデバイスまたはIPアドレスからログインした際に、メールでアカウントを確認するとともに、予防的措置としてユーザーにマスターパスワードの変更を勧告するとしている。

 一方で、LastPassに保存されている各サイトのパスワードについては、盗まれていないため変更する必要はないと説明。ただし、マスターパスワードを他のサイトのパスワードで使い回している場合や、弱いパスワードを使っている場合には、それらのパスワードを変更するよう呼び掛けている。

(三柳 英樹)