LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 56
ストーリー by headless
保管 部門より
保管 部門より
LastPass が不正アクセスに関するブログ記事を更新し、11 月に発表した 2 回目の不正アクセスでは攻撃者が顧客のパスワード保管庫のバックアップをコピー可能な状態であったことを明らかにした
(LastPass のブログ記事、
The Verge の記事、
Ars Technica の記事、
The Register の記事)。
8 月に発生した最初の不正アクセスでは LastPass 開発環境の一部が侵入を受けた。開発環境に顧客データは含まれないが、ソースコードと技術情報の一部が奪われ、2 回目の攻撃で LastPass 従業員をターゲットにしてクラウドストレージサービスへのアクセスと復号に必要な鍵の窃取に用いられている。
これにより、攻撃者は LastPass 顧客のアカウント情報やメタデータにアクセス可能だったほか、暗号化されたストレージコンテナからパスワード保管庫のバックアップをコピー可能だったという。なお、攻撃者が暗号化されていないクレジットカード情報にアクセスした痕跡はないとのこと。
保管庫はプロプライエタリなバイナリ形式でウェブサイトの URL など暗号化しないデータと、ウェブサイトのユーザー名とパスワード、フォーム入力データなどの暗号化されたデータが格納されている。暗号化されたフィールドには 256-bit AES 暗号化が用いられており、顧客だけが知るマスターパスワードでのみ復号できる。
これにより、顧客が LastPass のベストプラクティスに従ったマスターパスワードを作成して使用している限り、現在一般に利用可能なパスワードクラック技術では数百万年を要するため何もする必要はないという。ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。
8 月に発生した最初の不正アクセスでは LastPass 開発環境の一部が侵入を受けた。開発環境に顧客データは含まれないが、ソースコードと技術情報の一部が奪われ、2 回目の攻撃で LastPass 従業員をターゲットにしてクラウドストレージサービスへのアクセスと復号に必要な鍵の窃取に用いられている。
これにより、攻撃者は LastPass 顧客のアカウント情報やメタデータにアクセス可能だったほか、暗号化されたストレージコンテナからパスワード保管庫のバックアップをコピー可能だったという。なお、攻撃者が暗号化されていないクレジットカード情報にアクセスした痕跡はないとのこと。
保管庫はプロプライエタリなバイナリ形式でウェブサイトの URL など暗号化しないデータと、ウェブサイトのユーザー名とパスワード、フォーム入力データなどの暗号化されたデータが格納されている。暗号化されたフィールドには 256-bit AES 暗号化が用いられており、顧客だけが知るマスターパスワードでのみ復号できる。
これにより、顧客が LastPass のベストプラクティスに従ったマスターパスワードを作成して使用している限り、現在一般に利用可能なパスワードクラック技術では数百万年を要するため何もする必要はないという。ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。
何回目? (スコア:0)
LastPassって流出何回してるんだよ…
Re: (スコア:0)
LastPassって流出何回してるんだよ…
FinalPassにしちゃえば解決
Re: (スコア:0)
FinalFantasyって作品いくつあるんだよ…
Re: (スコア:0)
というか何故にパスワードをネット上に保存するんだ?
危険でしかないだろ。
Re:何回目? (スコア:2)
外部とのネット接続がない場合を除けば、今回のように、「問題があったらわかり」というのは、かなり大切と思う。
自分のPCから、「いつの間にか」盗まれても、気づかない可能性が高いので。
¶「だますのなら、最後までだまさなきゃね」/ 罵声に包まれて、君はほほえむ。
Re: (スコア:0)
何故に社外秘情報をも含むファイルサーバーをバックアップするんだ? 危険でしかないだろ。
Re: (スコア:0)
競合サービスがどのくらいあるのかわからないけど、
ニュースになるとしたら不祥事くらいしかないジャンルかなぁと
要するに (スコア:0)
残るはユーザーが各自設定してるマスターパスワード1つだけで
攻撃者が「こいつを攻撃すると」と狙いを定めて、マスターパスワードが弱かったらもう丸裸って事なのかな。
自分は1password使ってるけど、そこのマスターパスワード(的なもの)は正直弱いんだよね。
だってブラウザで開く度に毎回入力してるし、そこに複雑なの覚えてらんない。
(まあそこだからこそ頑張って複雑にしろって話だとは思うけど)
Re: (スコア:0)
マスターパスワードを強固にしておくのは前提中の前提なので・・・・
いちいちそれぞれのkey derivationの実装まで調べるほうが面倒なので、
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
頑張れば意外と覚えられるし入力もできるものですよ
無理ならお使いのパスワードマネージャの鍵導出アルゴリズム調べてどこまで短くしても実効的に128bit程度の強度が確保できるか考えるしかないです
Re:要するに (スコア:1)
素直にマスターパスワードを128bitから256bitの強度にしてしまうほうが楽ですね
頑張れば意外と覚えられるし入力もできるものですよ
なぜ暗記を推奨する習わしを復活させたがるのだろうか
鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
属人スキルに頼らない仕組みをすすめてあげようよ
Re: (スコア:0)
それなりの知能の持ち主だと暗記が一番楽なもんで。
Re: (スコア:0)
それなりの知能の持ち主だと暗記が一番楽なもんで。
各サイトの強固なパスワードを暗記しなくていいようにするためのソフトのパスワードを強固にして暗記しましょうとか
自称頭の良いという馬鹿だということがよく分かる回答だなぁ
Re: (スコア:0)
#4385799です。
強固なマスターパスワードを使うか使わないかの議論をしているときのthreat modelで対象にしてる危険性は、
> 鍵ファイルなり指紋認証なりワンタイムな他要素認証なり
で対象にしているものと異なるからですね。
加えて言うならそれが一番シンプルで、一番簡単だからです。
ワンタイムは全然別の事態への対応用ですし、指紋認証は私がアルゴリズムを全く理解しておらずどの程度の強度があるのか見当すらつかないので。
パスワードの強度計算は高校生でもできます。
1passwordがどうしてるか知りませんが、私は当然おっしゃられたようなマスターパスワード以外の認
Re: (スコア:0)
馬鹿は鍵ファイルをなくすし、指紋認証は別の危険があるからなぁ。
馬鹿は忘れるに戻っちゃうんだけど、なんだかんだ他人に見られない記憶が有効なんだよね。
覚えないといえけないのは一つだけなんで頑張って覚えろとしかいようがない。
Re: (スコア:0)
パスワードを覚えたくないから使うのに不便だな
Re: (スコア:0)
まあ攻撃者も暇ではないのでユーザ一人一人に辞書攻撃するより
分かりやすいパスで開けるユーザデータを探すんじゃないかな
あとは緩いセキュリティの金融機関アカウント持ってるユーザデータとかを集中的に攻めるとか
Re: (スコア:0)
手打ちするパスワードは pwmake 64 (リスク低) か pwmake 80 (リスク高) で作ってるな
128/256bit みたいなガチ勢ではないけど、現実的には十分すぎるほど安全(計算速度が異様に進歩しない限り)
こんな感じのパスワードを作ってくれる
pwmake 64: .yBEb8@hegLoNK
pwmake 80: bYJ0nvYxp@n!eM6eN
作った日に百回くらいタイプして、その後一週間くらい毎日手打ちを継続すれば、まあ覚えられる
Re: (スコア:0)
自分ルールのハッシュ値計算表を一個覚えりゃいいのに
毎度100回タイプして覚えるとかすげぇ非効率なことやってんな
Re: (スコア:0)
具体的にどうすんの?
毎度っていっても覚えてるパスワードなんて一個か二個だろ
Re: (スコア:0)
具体的にって……適当にルール決めるだけだぞ?
利用サービス名でもキーにして各文字に対して、leet等する、文字位置を入れ替える、n文字シフト、大文字にする小文字にする、ローマ字打ちとかな打ちを参考に文字置換、etc
頭ん中でもこれくらいなら余裕だろ?
最悪どれか一個漏れてもルールが分からない程度に複雑化するだけ
> 毎度っていっても覚えてるパスワードなんて一個か二個だろ
パスワード使いまわしてるから1個か2個という意図なら終わってる
オンラインサービス等をそもそも1個か2個しか使ってないならまあ100回打って覚えるのもありかも知れんが……
Re: (スコア:0)
パスワードマネージャのトピックでなんで使い回しの話になるの
Re: (スコア:0)
> パスワードマネージャのトピックでなんで使い回しの話になるの
>> そこに複雑なの覚えてらんない。
という話がまずあり、
>> 手打ちするパスワード
の話になってるからだからだろうね
#4385976も言ってる通り、OSやディスク暗号、マネージャのマスタパスワードetcで余裕で手打ちが2個をオーバー
1個のパスワードを100回打って覚えるという非効率なことしてる人だよ?
余談として手打ちパスワードとやらをマスタパスワード他でも使いまわしてると疑ってなんの問題が?
Re: (スコア:0)
マスターパスワードの話してるところへのレスなんだから、当然その種のパスワードの話なんだが。
PCのログインパスワード、ディスク暗号化、パスワードマネージャー、そのあたり。
これらはローカルといえど、それでもあんまり使いまわしたくないからパスワードはなるべく分けてるけど、それでも覚えてるのは数個。
ウェブサービスのパスワードは自動生成&自動入力に完全に任せるのが基本で、変な覚え方で頑張るべきじゃないよ。
人の目だとフィッシングに引っかかるかもしれないし。
Re:要するに (スコア:1)
> 変な覚え方で頑張るべきじゃないよ。
パスワードを最初に100回打ってその後一週間くらい毎日手打ちを継続するのが変な覚え方だとは思わないのね
Re: (スコア:0)
俺、文庫一冊くらい覚えるのは簡単なんだが、忘れるのも簡単なんだよな。ひと月ぐらい使わないと大体忘れる。
Re: (スコア:0)
語呂による暗記術を使えばすぐだよ。受験生時代とか、年寄りなら口頭で電話番号を聞いて覚えるとかやったろ。
ちょっと不安なんだけど (スコア:0)
>> ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。
これなんだけど、すでに保管庫データぶっこ抜かれている状態で今パスワード変えるとリスクが減るものなの?
Re: (スコア:0)
vaultの保管庫のマスターパスワードじゃなくて、lastpassに登録してた各々のウェブサイトのパスワードに決まってるでしょ
いったい何をどう読んでるの?
Re: (スコア:0)
ウェブで登録したパスワード今変更したところで、ユーザー名に紐づいた保管庫データがもう抜かれているわけだよね?
なので今Webでマスターパスワードを変更しても、今後のリスクは減るのは分かるんだけど、もう抜かれちゃっているんで意味ないんじゃないのっていう質問なんだけど。つまり、今変えれば大丈夫だよって聞こえちゃうのはミスリードなんじゃないかと思うわけ。
Re: (スコア:0)
ウェブで登録したパスワード今変更したところで、ユーザー名に紐づいた保管庫データがもう抜かれているわけだよね?
なので今Webでマスターパスワードを変更しても、今後のリスクは減るのは分かるんだけど、もう抜かれちゃっているんで意味ないんじゃないのっていう質問なんだけど。つまり、今変えれば大丈夫だよって聞こえちゃうのはミスリードなんじゃないかと思うわけ。
これにより、顧客が LastPass のベストプラクティスに従ったマスターパスワードを作成して使用している限り、現在一般に利用可能なパスワードクラック技術では数百万年を要するため何もする必要はないという。ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。
これの意味がそうとしか取れないなら個人情報を扱うことをやめた方がいい
# 百回くらい音読してみたらどうかな
Re: (スコア:0)
ソーシャルハックで特定個人のマスターパスがバレると保管庫にある特定個人のやつ全部復号されるから、
マスターパス変えてローカルの環境からそれが漏れる可能性なくすのが現状できる最善って話なのでは?
Re: (スコア:0)
> マスターパス変えて
> 弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更
だれも今更マスターを変えろなんて言ってない
ローカルからそのマスターが漏れて複合されるかもという観点が悪いとは言わんが、最善手は各ウェブサイトでパスワードを変更
何故ならマスターを変えたところで、既に漏れた保管庫を複合されるリスクは依然として残るからだ
Re: (スコア:0)
#4385795だけど煽り抜きで何言ってるのか全くわからんです
ごめんなさい
Re: (スコア:0)
LastPassに登録していた=保管庫のマスターパスワードが破られたら漏れる可能性のあるパスワード(srad.jp etc)を全て変更するって話でしょ。
保管庫のマスターパスワード解析にもある程度時間が掛かるから、保管庫に記録していたすべてのパスワードをマスターパスワード解析完了前にすべて変更すれば、被害を防げる。
既に4か月程度経ってるから被害を受けてる可能性もあるし、フォーム入力データ内に入っていたであろう変更不能な個人情報に関しては諦めるしかないけどね。
でも、まだ変更すれば間に合う可能性だってある。
1.LastPassのアカウントのパスワードを変
Re: (スコア:0)
リプライ付ける先間違ってるよ。
Re: (スコア:0)
リプライ付ける先を間違えてるのは #4385839 ではないだろうか。
#4385795=#4385823 はおかしなこと言っていないし。
削除済みアカウントは大丈夫? (スコア:0)
1年以上前にbitwardenに移行してlastpassアカウント削除したけど、データはちゃんと消されてるのか。
Re: (スコア:0)
利用者としては削除されてない(削除フラグを立てただけ)前提で行動すべきです。
つまり、lastpassで登録してあったパスワードは全て破棄して新しいパスワードを設定すべきです。
Re: (スコア:0)
退会する際は、保存してあるデータを可能な限りランダムに書き換えるべきだよな
それからデータの制御権を失うということだから
Re: (スコア:0)
書き換えの傾向もあげちゃうなんて親切w
自分のパスワードが破られたのか知りたい (スコア:0)
古いパスワード入力されたら連絡がくるようなサービスが欲しいな
Re:自分のパスワードが破られたのか知りたい (スコア:1)
古いパスワード入力されたら連絡がくるようなサービスが欲しいな
こうですね
古いパスワードが試行されました
新しいパスワードを再設定してください
フィッシングURL
Re: (スコア:0)
ブラウザーのパスワードマネージャーは流出事故を起こしたサービスのパスワードに警告を出すようにとっくになってるぞ
Re: (スコア:0)
それってどっかに公開されたものに限るでしょ
犯人グループがこっそり不正利用しているうちは警告しようがない
パスワードマネージャの安全性評価 (スコア:0)
意外とやってない気がするな…
Edgeとかマスターパスワードが存在してないんだけど大丈夫なんだろうか
Re: (スコア:0)
Chromeも同様にマスターパスワードなしだね。
今回みたいにサーバーから漏れた場合を除いたら、偽マスターパスワード入力画面等で攻略可能なので、大多数の人には気休めにしかならないってのは有る。
Re: (スコア:0)
アカウントに紐づいてるんでしょ?アカウント乗っ取られたら色々なものが大丈夫じゃないと思うよ。
Re: (スコア:0)
アカウント乗っ取りで大丈夫なサービスがあるわけがないので、それ以外の脆弱性の問題だと思う。
たとえば「暗号化して保存している」にしても、事業者側で解読可能な形で保存しているのか、マスターパスワードを破られない限り解読できないのかとか。
前者だと今回みたいな事業者側の粗相の度合い次第では漏洩してしまうわけで。
Re: (スコア:0)
その粗相でパスワード以外の情報が漏洩することは気にならないの?データ漏洩時点で大事故だよ。
マスターパスワードで保護されていれば軽傷で済むかもなんて期待しない方がいいよ。
Re: (スコア:0)
OSの機能(WindowsではDPAPI)を使っているのでOSがどれだけ安全にパスワードを管理しているかによる。
https://learn.microsoft.com/ja-jp/deployedge/microsoft-edge-security-p... [microsoft.com]