LastPassは過去10年間、頻繁にニュースで取り上げられてきました。データ侵害やセキュリティインシデントが相次いだことを受け、以前LastPassを利用していた方、現在LastPassを利用している方、あるいはこれから利用しようと考えている方など、この有名なパスワードマネージャーを安全に利用できるのか疑問に思われる方もいらっしゃるかもしれません。
LastPass の現在の機能とセキュリティ対策を、過去の事件とともに見てみましょう。
おすすめ動画
LastPassとは何ですか?
LastPassは、Web、デスクトップ、モバイル、そしてブラウザ拡張機能で利用できるパスワード管理アプリケーションです。基本的なパスワード管理機能に加え、多要素認証、生体認証ログイン、自動入力、パスワード生成機能、ダークウェブ監視機能も備えています。
セキュリティに関しては、LastPassはAES-256データ暗号化、SHA-256ソルトを使用したPBKDF2ハッシュ、ゼロ知識モデルを採用しています。また、LastPassはISO 27001、TRUSTe、SOC3など、複数のセキュリティ認証を取得しています。
現在、LastPass のユーザー数は 3,300 万人を超え、推定年間収益は 1 億 4,370 万ドルです。
素晴らしい話ですよね?それで、何が問題なのですか?
LastPassのセキュリティインシデント
LastPassの安全性について疑問を抱く人がいるのには理由があります。長年にわたるセキュリティ侵害や情報窃盗は、確かに懸念材料です。これらの事件について詳しく理解するために、発生した事件の簡単なタイムラインを見てみましょう。
2011年: セキュリティ通知
LastPassは、自社のネットワークトラフィックに不規則性を発見し、データベースの1つにも一致する不規則性を発見しました。具体的な侵害は確認されなかったものの、LastPassは、データの一部がハッキングされた可能性を懸念し、ユーザーにマスターパスワードの変更を要請しました。
2015年:セキュリティ侵害
LastPassは、自社ネットワーク上で「不審なアクティビティを発見し、ブロックした」とコミュニティに通知しました。通知では、メールアドレス、パスワードリマインダー、ユーザーごとのサーバーソルト、認証ハッシュが侵害されたと述べられていました。しかし、ユーザーVaultのデータが盗まれたという証拠は見つからず、ユーザーアカウントへのアクセスはなかったとしています。
2021年:サードパーティのトラッカーとマスターパスワード
LastPassのユーザーがAndroidモバイルアプリに複数のサードパーティ製トラッカーを発見しました。類似のパスワードマネージャーにも同様のトラッカーが含まれていましたが、1Password、Bitwarden、Dashlaneと比較すると、LastPassが最も多くのトラッカーを含んでいたことが指摘されました。
「これらのトラッカーを通じて、個人を特定できる機密性の高いユーザーデータや保管庫のアクティビティが渡されることはありません。これらのトラッカーは、LastPassの利用状況に関する限定的な統計データを収集し、製品の改善と最適化に役立てています」と、LastPassの担当者がThe Registerに提出した声明には記されている。
2021年後半、LastPassユーザーに対し、マスターパスワードが侵害され、そのパスワードでのログイン試行がブロックされたという通知がメールで届いたと報じられました。しかし、LastPassの担当者は、これらの報告を調査し、「この活動はボット関連のごく一般的な活動に関連していると判断した」と述べています。
2022年:データ盗難
おそらく最も記憶に残るセキュリティインシデントは、ハッカーがLastPassの顧客データベースのコピー、パスワード保管庫、そして氏名、メールアドレス、請求先住所、クレジットカード番号の一部、URLなどのデータを盗んだ事件です。盗まれたデータには、暗号化されたデータと暗号化されていないデータが混在していました。
LastPassのセキュリティインシデントレポートは、上記の2022年8月の出来事から始まります。その後、数ヶ月にわたる最新情報とともに、バックアップやその他のデータを保存するために使用されているサードパーティの共有クラウドストレージサービスにおける異常なアクティビティに関する調査について説明しています。
2022年後半、LastPassは、8月の最初の事件で取得されたデータを使用して顧客情報にアクセスしたが、パスワードは暗号化されたままであったと発表した。
当該人物または組織は、ソースコードと技術情報を入手し、後にLastPassの従業員を標的にしました。彼らは、クラウドサービス内のストレージボリュームにアクセスして復号するための認証情報とキーを入手しました。そして、会社名、ユーザー名、メールアドレス、請求先住所、電話番号、IPアドレスを含むバックアップ情報をコピーしました。
2023年9月、2022年のデータ盗難事件と、前年12月以降150人以上の被害者から盗まれた3,500万ドル以上の暗号通貨との間に関連性が見つかった。
LastPassの追加セキュリティ対策
前述のように、LastPass は業界標準の暗号化、ソルトを使用した PBKDF2 ハッシュ、およびゼロ知識方式を使用してデータを保護します。
また、サービスとインフラは定期的に監査とテストを受けており、ユーザーがセキュリティチームにアクセスして潜在的な脆弱性を報告できるようにしています。LastPassは、ホワイトハットハッカーが発見したバグを報告できる「バグバウンティプログラム」も導入しています。
LastPass を使うべきでしょうか?
現在のセキュリティ対策、優れた機能セット、そして何百万人ものユーザーを考えると、10 年以上にわたるセキュリティ インシデントを無視できるのであれば、LastPass を頼りになるパスワード マネージャーとして使用するのは合理的だと思われます。
しかし、結局のところ、それはまさにそれです。あなたはこれらの事件を無視できますか?データは安全だと感じられますか?LastPassにどれだけの信頼を置くことができますか?
パスワード管理製品を提供している企業の中には、LastPassのようなニュースを賑わせたり、インシデントを起こしたりしていない企業も数多くあります。そして、LastPassはハッカーや窃盗犯から常に狙われているように見受けられます。同社が問題解決に必要な対策を講じていることを願いますが、現時点では、リスクを負う価値があるかどうかを判断する必要があります。
