LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 26
ストーリー by headless
共通 部門より
共通 部門より
昨年発生した LastPass の不正アクセスで攻撃者がコピー可能だったとされるパスワード保管庫について、実際にコピーされたデータの一部がクラックされ、暗号通貨の窃盗に用いられているとの見方が出ている
(KrebsOnSecurity の記事、
The Verge の記事)。
ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。
そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複数の被害者から盗んだ資金を同じブロックチェーンアドレスに送っているという結論に達したとのこと。
暗号通貨ワレット復元サービス Unciphered の Nick Bax 氏は Monahan 氏らが収集したデータを独自に分析し、Monahan 氏と同じ結論に達した。Bax 氏や Monahan 氏らはこのような特徴から新たな被害者を特定することにも成功している。
Bax 氏によればインタビューに合意した被害者の回答から得られた唯一の明白な共通点は LastPass にシードフレーズを保存していたことだといい、LastPass を使用する家族や知人にはパスワードの変更や暗号通貨の移行を強く勧めているとのことだ。
ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。
そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複数の被害者から盗んだ資金を同じブロックチェーンアドレスに送っているという結論に達したとのこと。
暗号通貨ワレット復元サービス Unciphered の Nick Bax 氏は Monahan 氏らが収集したデータを独自に分析し、Monahan 氏と同じ結論に達した。Bax 氏や Monahan 氏らはこのような特徴から新たな被害者を特定することにも成功している。
Bax 氏によればインタビューに合意した被害者の回答から得られた唯一の明白な共通点は LastPass にシードフレーズを保存していたことだといい、LastPass を使用する家族や知人にはパスワードの変更や暗号通貨の移行を強く勧めているとのことだ。
意識高い系 (スコア:0)
というのも最近聞かないから死語なのかな。
というのはともかく、セキュリティ意識高い人が、クラウドにパスワード保存するかな、かな。
Re: (スコア:0)
意識高い系だから"LastPass"なんじゃね?
意識高い系はセキュリティ意識よりもっと高い意識を持ってるからねっ!
Re: (スコア:0)
パスワードの管理について何がしか検討したわけですから、
大変セキュリティ意識の高い人だと言っていいと思いますよ
Re: (スコア:0)
馬鹿が考えたところで碌な結果にならないってな。
そういうのは意識高いとは言わない。
Re: (スコア:0)
暗号通貨はよく知らないので調べたところ、シードフレーズって変更できないものであり、どうしても変更したい場合はアカウントを新規作成するしかないと理解したんだが……そこまで重要なのを、”意識高い人”が何かしらの利便性のためにクラウドに保存していた理由が私にもよく分からん。
そしてLastPass騒動以降、念のために暗号通貨の新規アカウント開設してそちらへの送金もしてなかったってことでしょ?送金手数料をケチったってことかしら?
Re:意識高い系 (スコア:2)
ストレージ壊れたり忘れてて捨てたりっていう事があるのでオンライン上にも置いとこう、はわからんでもないけどね。
名前が違った (スコア:0)
実はLustPussだったのでは
Re: (スコア:0)
だからRustPassにしておけと。
結局、クラウドにパスワード保存しては危険 (スコア:0)
って結論にされてしまうのかな。
人間が覚えられるわけがない自動生成されたパスワードをパスワードマネージャで管理することがベストソリューションと言われて久しいので「セキュリティ意識高い系」こそ、そうしてただろうし。
それはともかく、パスワードをExcel管理してるような連中がドヤりそうで怖い。
Re: (スコア:0)
そういや、Excel管理している人を思い出したわ。
なんでテキストじゃないんやろ。
Re: (スコア:0)
インデントが揃っててみやすい
しかもパスワードでロックもできるじゃん
むしろなんでExcelにしないの?って思うけど
Re: (スコア:0)
パスワードでロック、ってファイル自体にはプレーンテキストで保存されているんじゃないの?Excelで開かないから見えないように思えるだけで。
ただ、ネットワークからアクセスできるものであれば流出の危険があるとして、かつてはPCに保存してはいけないとされていたけど、クラウドで情報が共有されるのが当たり前になり、ファイル共有設定のミスによるPCからのプライベートファイルの流出も減ってきたので、かえってPCに保存した方が安全と言えなくない状況になりつつあるような気がしなくもない。
個人的には利便性の点でブラウザの機能を経由してクラウドに保存だな(でもMozillaは信じていない)。特にお金が絡まないものに関しては。お金が絡むものは自宅で紙ベースの管理。
Re: (スコア:0)
ちゃんと中も暗号化されてますよ。
xlsxならZIPで開けますし、試してみては?
Re: (スコア:0)
パスワードロックはしないから、個人的にはどうでもいいんだけど、Excelってコピーするときにパスワード以外にゴミが付きそうで、パスワードをコピーしにくくない?
そうでもないのかな。
検索も微妙にしにくい印象。
まあ、俺要因かもしれんが。
インデントが揃っているのは確かにそうね。
Re: (スコア:0)
改行とか入れなきゃゴミは付かない。
ぶっちゃけ、別に個人でExcel管理するのはいいと思うんだよ。
問題は会社のシステムで「共通パスワード」を使いながらExcelのパスワードを開ける人だけがアクセスできるとか、
わけのわからん「高セキュリティ運用」やってるところ。
Re: (スコア:0)
こういう人は例えばCISCOのパスワードとかActiveDirectoryの復元モードのパスワードとかどうやって管理しているんだろ・・・
Re: (スコア:0)
そんな非常時しか使わないものは金庫保管やろ。
NW機器も今は作業者のSSHキー登録しとけばいいんだし。
Re: (スコア:0)
簡単にクラック出来ることが分かっているのに。
あれは言い訳用でしかなくて、安全を求めるものではない。
神エクセルと同じでなんでもかんでもエクセルにしたがる日本人が多いだけ。
画像ファイルなんかもエクセルだからな。
もちろんjpeg貼り付けただけで他には何もない。解説でも書いてりゃ別の感想も持つんだけど。
Re: (スコア:0)
じゃないんやろ
Re: (スコア:0)
パスワード以外にも、登録日やその他のメタ的情報などデータベース的な情報を記録しています。
複数シートを使えるのも地味に便利です。
このファイルのデータが漏洩したらかなりの問題ではありますが、
第三者にはこのパスワード付きExcelファイルにアカウントに関する情報が保存されている事を判別する事がまず困難なはずです。
この用途でプレーンテキストが勝るメリットはあまりない気がしますがどうでしょうかね。
Re: (スコア:0)
(#4526481)さんと同じような観点で私もExcelにしようと思っています。
パスワード管理ツールを使おうと思ってたのだけど、件のようなインシデントを未だに見聞きして安心感が得られない。
プレーンテキストでもできなくはないが、データの見え方とか使い勝手的にExcelでよいかなと。
Re: (スコア:0)
KeePassに戻れということ。
Re: (スコア:0)
Excel じゃ管理しにくいですよ。
やっぱメモ帳(プレーンテキスト)が一番、ドヤッw
いざとなれば cat して grep でも見られるし。
その時の状況とか適当なメモもつけられるからチョー便利。
俺の自宅サーバの /home/oresama/etc/passwd.txt にあるから、クラックしたら見てもいいよw
Re: (スコア:0)
おれもブラウザのパスワード管理はマスターバスワード設定してるけど、
エクスポートした平文ファイルがバックアップNASに置いてあったりw
Re: (スコア:0)
暗号データって復号できなくなった時が怖いんだよな。
不良セクタで少し欠けても全滅するし。
Re: (スコア:0)
1passwordでWiFi syncを使ってたけど、
やはり母艦(PC)とモバイルの両方使わないと同期できないのは面倒だったな。
今はクラウドにおいてしまってる。
リスクなのはわかるけど、利便性とそれなりのセキュリティでやめられませんな。