パスワードを忘れた? アカウント作成
16394018 story
スラッシュバック

LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 56

ストーリー by headless
保管 部門より
LastPass が不正アクセスに関するブログ記事を更新し、11 月に発表した 2 回目の不正アクセスでは攻撃者が顧客のパスワード保管庫のバックアップをコピー可能な状態であったことを明らかにした (LastPass のブログ記事The Verge の記事Ars Technica の記事The Register の記事)。

8 月に発生した最初の不正アクセスでは LastPass 開発環境の一部が侵入を受けた。開発環境に顧客データは含まれないが、ソースコードと技術情報の一部が奪われ、2 回目の攻撃で LastPass 従業員をターゲットにしてクラウドストレージサービスへのアクセスと復号に必要な鍵の窃取に用いられている。

これにより、攻撃者は LastPass 顧客のアカウント情報やメタデータにアクセス可能だったほか、暗号化されたストレージコンテナからパスワード保管庫のバックアップをコピー可能だったという。なお、攻撃者が暗号化されていないクレジットカード情報にアクセスした痕跡はないとのこと。

保管庫はプロプライエタリなバイナリ形式でウェブサイトの URL など暗号化しないデータと、ウェブサイトのユーザー名とパスワード、フォーム入力データなどの暗号化されたデータが格納されている。暗号化されたフィールドには 256-bit AES 暗号化が用いられており、顧客だけが知るマスターパスワードでのみ復号できる。

これにより、顧客が LastPass のベストプラクティスに従ったマスターパスワードを作成して使用している限り、現在一般に利用可能なパスワードクラック技術では数百万年を要するため何もする必要はないという。ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。
  • by Anonymous Coward on 2022年12月24日 17時13分 (#4385782)

    LastPassって流出何回してるんだよ…

    ここに返信
    • by Anonymous Coward

      LastPassって流出何回してるんだよ…

      FinalPassにしちゃえば解決

      • by Anonymous Coward

        FinalFantasyって作品いくつあるんだよ…

    • by Anonymous Coward

      というか何故にパスワードをネット上に保存するんだ?
      危険でしかないだろ。

      • 総合的に判断すると、かなり安全だから。
        外部とのネット接続がない場合を除けば、今回のように、「問題があったらわかり」というのは、かなり大切と思う。
        自分のPCから、「いつの間にか」盗まれても、気づかない可能性が高いので。
        --
        ¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
      • by Anonymous Coward

        何故に社外秘情報をも含むファイルサーバーをバックアップするんだ? 危険でしかないだろ。

    • by Anonymous Coward

      競合サービスがどのくらいあるのかわからないけど、
      ニュースになるとしたら不祥事くらいしかないジャンルかなぁと

  • by Anonymous Coward on 2022年12月24日 17時33分 (#4385790)

    残るはユーザーが各自設定してるマスターパスワード1つだけで
    攻撃者が「こいつを攻撃すると」と狙いを定めて、マスターパスワードが弱かったらもう丸裸って事なのかな。

    自分は1password使ってるけど、そこのマスターパスワード(的なもの)は正直弱いんだよね。
    だってブラウザで開く度に毎回入力してるし、そこに複雑なの覚えてらんない。
    (まあそこだからこそ頑張って複雑にしろって話だとは思うけど)

    ここに返信
    • by Anonymous Coward

      マスターパスワードを強固にしておくのは前提中の前提なので・・・・
      いちいちそれぞれのkey derivationの実装まで調べるほうが面倒なので、
      素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
      頑張れば意外と覚えられるし入力もできるものですよ
      無理ならお使いのパスワードマネージャの鍵導出アルゴリズム調べてどこまで短くしても実効的に128bit程度の強度が確保できるか考えるしかないです

      • by Anonymous Coward on 2022年12月24日 18時28分 (#4385818)

        素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
        頑張れば意外と覚えられるし入力もできるものですよ

        なぜ暗記を推奨する習わしを復活させたがるのだろうか
        鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
        属人スキルに頼らない仕組みをすすめてあげようよ

        • by Anonymous Coward

          それなりの知能の持ち主だと暗記が一番楽なもんで。

          • by Anonymous Coward

            それなりの知能の持ち主だと暗記が一番楽なもんで。

            各サイトの強固なパスワードを暗記しなくていいようにするためのソフトのパスワードを強固にして暗記しましょうとか
            自称頭の良いという馬鹿だということがよく分かる回答だなぁ

        • by Anonymous Coward

          #4385799です。
          強固なマスターパスワードを使うか使わないかの議論をしているときのthreat modelで対象にしてる危険性は、
          > 鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
          で対象にしているものと異なるからですね。

          加えて言うならそれが一番シンプルで、一番簡単だからです。
          ワンタイムは全然別の事態への対応用ですし、指紋認証は私がアルゴリズムを全く理解しておらずどの程度の強度があるのか見当すらつかないので。
          パスワードの強度計算は高校生でもできます。

          1passwordがどうしてるか知りませんが、私は当然おっしゃられたようなマスターパスワード以外の認

        • by Anonymous Coward

          馬鹿は鍵ファイルをなくすし、指紋認証は別の危険があるからなぁ。
          馬鹿は忘れるに戻っちゃうんだけど、なんだかんだ他人に見られない記憶が有効なんだよね。
          覚えないといえけないのは一つだけなんで頑張って覚えろとしかいようがない。

      • by Anonymous Coward

        パスワードを覚えたくないから使うのに不便だな

    • by Anonymous Coward

      まあ攻撃者も暇ではないのでユーザ一人一人に辞書攻撃するより
      分かりやすいパスで開けるユーザデータを探すんじゃないかな

      あとは緩いセキュリティの金融機関アカウント持ってるユーザデータとかを集中的に攻めるとか

    • by Anonymous Coward

      手打ちするパスワードは pwmake 64 (リスク低) か pwmake 80 (リスク高) で作ってるな
      128/256bit みたいなガチ勢ではないけど、現実的には十分すぎるほど安全(計算速度が異様に進歩しない限り)
      こんな感じのパスワードを作ってくれる
      pwmake 64: .yBEb8@hegLoNK
      pwmake 80: bYJ0nvYxp@n!eM6eN

      作った日に百回くらいタイプして、その後一週間くらい毎日手打ちを継続すれば、まあ覚えられる

      • by Anonymous Coward

        自分ルールのハッシュ値計算表を一個覚えりゃいいのに
        毎度100回タイプして覚えるとかすげぇ非効率なことやってんな

        • by Anonymous Coward

          具体的にどうすんの?
          毎度っていっても覚えてるパスワードなんて一個か二個だろ

          • by Anonymous Coward

            具体的にって……適当にルール決めるだけだぞ?
            利用サービス名でもキーにして各文字に対して、leet等する、文字位置を入れ替える、n文字シフト、大文字にする小文字にする、ローマ字打ちとかな打ちを参考に文字置換、etc
            頭ん中でもこれくらいなら余裕だろ?

            最悪どれか一個漏れてもルールが分からない程度に複雑化するだけ

            > 毎度っていっても覚えてるパスワードなんて一個か二個だろ
            パスワード使いまわしてるから1個か2個という意図なら終わってる
            オンラインサービス等をそもそも1個か2個しか使ってないならまあ100回打って覚えるのもありかも知れんが……

            • by Anonymous Coward

              パスワードマネージャのトピックでなんで使い回しの話になるの

              • by Anonymous Coward

                > パスワードマネージャのトピックでなんで使い回しの話になるの

                >> そこに複雑なの覚えてらんない。
                という話がまずあり、

                >> 手打ちするパスワード
                の話になってるからだからだろうね

                #4385976も言ってる通り、OSやディスク暗号、マネージャのマスタパスワードetcで余裕で手打ちが2個をオーバー

                1個のパスワードを100回打って覚えるという非効率なことしてる人だよ?
                余談として手打ちパスワードとやらをマスタパスワード他でも使いまわしてると疑ってなんの問題が?

            • by Anonymous Coward

              マスターパスワードの話してるところへのレスなんだから、当然その種のパスワードの話なんだが。
              PCのログインパスワード、ディスク暗号化、パスワードマネージャー、そのあたり。
              これらはローカルといえど、それでもあんまり使いまわしたくないからパスワードはなるべく分けてるけど、それでも覚えてるのは数個。

              ウェブサービスのパスワードは自動生成&自動入力に完全に任せるのが基本で、変な覚え方で頑張るべきじゃないよ。
              人の目だとフィッシングに引っかかるかもしれないし。

              • by Anonymous Coward on 2022年12月25日 18時41分 (#4386144)

                > 変な覚え方で頑張るべきじゃないよ。
                パスワードを最初に100回打ってその後一週間くらい毎日手打ちを継続するのが変な覚え方だとは思わないのね

      • by Anonymous Coward

        俺、文庫一冊くらい覚えるのは簡単なんだが、忘れるのも簡単なんだよな。ひと月ぐらい使わないと大体忘れる。

      • by Anonymous Coward

        語呂による暗記術を使えばすぐだよ。受験生時代とか、年寄りなら口頭で電話番号を聞いて覚えるとかやったろ。

  • by Anonymous Coward on 2022年12月24日 17時39分 (#4385793)

    >> ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。

    これなんだけど、すでに保管庫データぶっこ抜かれている状態で今パスワード変えるとリスクが減るものなの?

    ここに返信
    • by Anonymous Coward

      vaultの保管庫のマスターパスワードじゃなくて、lastpassに登録してた各々のウェブサイトのパスワードに決まってるでしょ
      いったい何をどう読んでるの?

      • by Anonymous Coward

        ウェブで登録したパスワード今変更したところで、ユーザー名に紐づいた保管庫データがもう抜かれているわけだよね?
        なので今Webでマスターパスワードを変更しても、今後のリスクは減るのは分かるんだけど、もう抜かれちゃっているんで意味ないんじゃないのっていう質問なんだけど。つまり、今変えれば大丈夫だよって聞こえちゃうのはミスリードなんじゃないかと思うわけ。

        • by Anonymous Coward

          ウェブで登録したパスワード今変更したところで、ユーザー名に紐づいた保管庫データがもう抜かれているわけだよね?
          なので今Webでマスターパスワードを変更しても、今後のリスクは減るのは分かるんだけど、もう抜かれちゃっているんで意味ないんじゃないのっていう質問なんだけど。つまり、今変えれば大丈夫だよって聞こえちゃうのはミスリードなんじゃないかと思うわけ。

          これにより、顧客が LastPass のベストプラクティスに従ったマスターパスワードを作成して使用している限り、現在一般に利用可能なパスワードクラック技術では数百万年を要するため何もする必要はないという。ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。

          これの意味がそうとしか取れないなら個人情報を扱うことをやめた方がいい

          # 百回くらい音読してみたらどうかな

        • by Anonymous Coward

          ソーシャルハックで特定個人のマスターパスがバレると保管庫にある特定個人のやつ全部復号されるから、
          マスターパス変えてローカルの環境からそれが漏れる可能性なくすのが現状できる最善って話なのでは?

          • by Anonymous Coward

            > マスターパス変えて

            > 弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更

            だれも今更マスターを変えろなんて言ってない
            ローカルからそのマスターが漏れて複合されるかもという観点が悪いとは言わんが、最善手は各ウェブサイトでパスワードを変更
            何故ならマスターを変えたところで、既に漏れた保管庫を複合されるリスクは依然として残るからだ

        • by Anonymous Coward

          #4385795だけど煽り抜きで何言ってるのか全くわからんです
          ごめんなさい

          • by Anonymous Coward

            LastPassに登録していた=保管庫のマスターパスワードが破られたら漏れる可能性のあるパスワード(srad.jp etc)を全て変更するって話でしょ。

            保管庫のマスターパスワード解析にもある程度時間が掛かるから、保管庫に記録していたすべてのパスワードをマスターパスワード解析完了前にすべて変更すれば、被害を防げる。
            既に4か月程度経ってるから被害を受けてる可能性もあるし、フォーム入力データ内に入っていたであろう変更不能な個人情報に関しては諦めるしかないけどね。
            でも、まだ変更すれば間に合う可能性だってある。

            1.LastPassのアカウントのパスワードを変

  • by Anonymous Coward on 2022年12月24日 18時25分 (#4385817)

    1年以上前にbitwardenに移行してlastpassアカウント削除したけど、データはちゃんと消されてるのか。

    ここに返信
    • by Anonymous Coward

      利用者としては削除されてない(削除フラグを立てただけ)前提で行動すべきです。
      つまり、lastpassで登録してあったパスワードは全て破棄して新しいパスワードを設定すべきです。

      • by Anonymous Coward

        退会する際は、保存してあるデータを可能な限りランダムに書き換えるべきだよな
        それからデータの制御権を失うということだから

        • by Anonymous Coward

          書き換えの傾向もあげちゃうなんて親切w

  • by Anonymous Coward on 2022年12月24日 18時45分 (#4385831)

    古いパスワード入力されたら連絡がくるようなサービスが欲しいな

    ここに返信
    • by Anonymous Coward on 2022年12月24日 20時10分 (#4385861)

      古いパスワード入力されたら連絡がくるようなサービスが欲しいな

      こうですね

      古いパスワードが試行されました
      新しいパスワードを再設定してください
      フィッシングURL

    • by Anonymous Coward

      ブラウザーのパスワードマネージャーは流出事故を起こしたサービスのパスワードに警告を出すようにとっくになってるぞ

      • by Anonymous Coward

        それってどっかに公開されたものに限るでしょ
        犯人グループがこっそり不正利用しているうちは警告しようがない

  • by Anonymous Coward on 2022年12月24日 23時43分 (#4385933)

    意外とやってない気がするな…
    Edgeとかマスターパスワードが存在してないんだけど大丈夫なんだろうか

    ここに返信
    • by Anonymous Coward

      Chromeも同様にマスターパスワードなしだね。
      今回みたいにサーバーから漏れた場合を除いたら、偽マスターパスワード入力画面等で攻略可能なので、大多数の人には気休めにしかならないってのは有る。

    • by Anonymous Coward

      アカウントに紐づいてるんでしょ?アカウント乗っ取られたら色々なものが大丈夫じゃないと思うよ。

      • by Anonymous Coward

        アカウント乗っ取りで大丈夫なサービスがあるわけがないので、それ以外の脆弱性の問題だと思う。
        たとえば「暗号化して保存している」にしても、事業者側で解読可能な形で保存しているのか、マスターパスワードを破られない限り解読できないのかとか。

        前者だと今回みたいな事業者側の粗相の度合い次第では漏洩してしまうわけで。

        • by Anonymous Coward

          その粗相でパスワード以外の情報が漏洩することは気にならないの?データ漏洩時点で大事故だよ。
          マスターパスワードで保護されていれば軽傷で済むかもなんて期待しない方がいいよ。

    • by Anonymous Coward

      OSの機能(WindowsではDPAPI)を使っているのでOSがどれだけ安全にパスワードを管理しているかによる。
      https://learn.microsoft.com/ja-jp/deployedge/microsoft-edge-security-p... [microsoft.com]

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...