パスワードを忘れた? アカウント作成
17221538 story
暗号

LastPassから流出したパスワード保管庫、クラックされて暗号通貨窃盗に用いられているとの見方 26

ストーリー by headless
共通 部門より
昨年発生した LastPass の不正アクセス攻撃者がコピー可能だったとされるパスワード保管庫について、実際にコピーされたデータの一部がクラックされ、暗号通貨の窃盗に用いられているとの見方が出ている (KrebsOnSecurity の記事The Verge の記事)。

ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。

そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複数の被害者から盗んだ資金を同じブロックチェーンアドレスに送っているという結論に達したとのこと。

暗号通貨ワレット復元サービス Unciphered の Nick Bax 氏は Monahan 氏らが収集したデータを独自に分析し、Monahan 氏と同じ結論に達した。Bax 氏や Monahan 氏らはこのような特徴から新たな被害者を特定することにも成功している。

Bax 氏によればインタビューに合意した被害者の回答から得られた唯一の明白な共通点は LastPass にシードフレーズを保存していたことだといい、LastPass を使用する家族や知人にはパスワードの変更や暗号通貨の移行を強く勧めているとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年09月10日 10時03分 (#4526159)

    というのも最近聞かないから死語なのかな。
    というのはともかく、セキュリティ意識高い人が、クラウドにパスワード保存するかな、かな。

    • by Anonymous Coward

      意識高い系だから"LastPass"なんじゃね?
      意識高い系はセキュリティ意識よりもっと高い意識を持ってるからねっ!

    • by Anonymous Coward

      パスワードの管理について何がしか検討したわけですから、
      大変セキュリティ意識の高い人だと言っていいと思いますよ

      • by Anonymous Coward

        馬鹿が考えたところで碌な結果にならないってな。
        そういうのは意識高いとは言わない。

    • by Anonymous Coward

      暗号通貨はよく知らないので調べたところ、シードフレーズって変更できないものであり、どうしても変更したい場合はアカウントを新規作成するしかないと理解したんだが……そこまで重要なのを、”意識高い人”が何かしらの利便性のためにクラウドに保存していた理由が私にもよく分からん。
      そしてLastPass騒動以降、念のために暗号通貨の新規アカウント開設してそちらへの送金もしてなかったってことでしょ?送金手数料をケチったってことかしら?

  • by Anonymous Coward on 2023年09月10日 10時31分 (#4526167)

    実はLustPussだったのでは

    • by Anonymous Coward

      だからRustPassにしておけと。

  • by Anonymous Coward on 2023年09月10日 15時23分 (#4526245)

    って結論にされてしまうのかな。
    人間が覚えられるわけがない自動生成されたパスワードをパスワードマネージャで管理することがベストソリューションと言われて久しいので「セキュリティ意識高い系」こそ、そうしてただろうし。

    それはともかく、パスワードをExcel管理してるような連中がドヤりそうで怖い。

    • by Anonymous Coward

      そういや、Excel管理している人を思い出したわ。
      なんでテキストじゃないんやろ。

      • by Anonymous Coward

        インデントが揃っててみやすい
        しかもパスワードでロックもできるじゃん
        むしろなんでExcelにしないの?って思うけど

        • by Anonymous Coward

          パスワードでロック、ってファイル自体にはプレーンテキストで保存されているんじゃないの?Excelで開かないから見えないように思えるだけで。

          ただ、ネットワークからアクセスできるものであれば流出の危険があるとして、かつてはPCに保存してはいけないとされていたけど、クラウドで情報が共有されるのが当たり前になり、ファイル共有設定のミスによるPCからのプライベートファイルの流出も減ってきたので、かえってPCに保存した方が安全と言えなくない状況になりつつあるような気がしなくもない。

          個人的には利便性の点でブラウザの機能を経由してクラウドに保存だな(でもMozillaは信じていない)。特にお金が絡まないものに関しては。お金が絡むものは自宅で紙ベースの管理。

          • by Anonymous Coward

            ちゃんと中も暗号化されてますよ。
            xlsxならZIPで開けますし、試してみては?

        • by Anonymous Coward

          パスワードロックはしないから、個人的にはどうでもいいんだけど、Excelってコピーするときにパスワード以外にゴミが付きそうで、パスワードをコピーしにくくない?
          そうでもないのかな。
          検索も微妙にしにくい印象。
          まあ、俺要因かもしれんが。

          インデントが揃っているのは確かにそうね。

          • by Anonymous Coward

            改行とか入れなきゃゴミは付かない。

            ぶっちゃけ、別に個人でExcel管理するのはいいと思うんだよ。
            問題は会社のシステムで「共通パスワード」を使いながらExcelのパスワードを開ける人だけがアクセスできるとか、
            わけのわからん「高セキュリティ運用」やってるところ。

            • by Anonymous Coward

              こういう人は例えばCISCOのパスワードとかActiveDirectoryの復元モードのパスワードとかどうやって管理しているんだろ・・・

              • by Anonymous Coward

                そんな非常時しか使わないものは金庫保管やろ。
                NW機器も今は作業者のSSHキー登録しとけばいいんだし。

        • by Anonymous Coward

          簡単にクラック出来ることが分かっているのに。
          あれは言い訳用でしかなくて、安全を求めるものではない。
          神エクセルと同じでなんでもかんでもエクセルにしたがる日本人が多いだけ。
          画像ファイルなんかもエクセルだからな。
          もちろんjpeg貼り付けただけで他には何もない。解説でも書いてりゃ別の感想も持つんだけど。

      • by Anonymous Coward

        じゃないんやろ

      • by Anonymous Coward

        パスワード以外にも、登録日やその他のメタ的情報などデータベース的な情報を記録しています。
        複数シートを使えるのも地味に便利です。

        このファイルのデータが漏洩したらかなりの問題ではありますが、
        第三者にはこのパスワード付きExcelファイルにアカウントに関する情報が保存されている事を判別する事がまず困難なはずです。

        この用途でプレーンテキストが勝るメリットはあまりない気がしますがどうでしょうかね。

        • by Anonymous Coward

          (#4526481)さんと同じような観点で私もExcelにしようと思っています。
          パスワード管理ツールを使おうと思ってたのだけど、件のようなインシデントを未だに見聞きして安心感が得られない。
          プレーンテキストでもできなくはないが、データの見え方とか使い勝手的にExcelでよいかなと。

    • by Anonymous Coward

      KeePassに戻れということ。

    • by Anonymous Coward

      Excel じゃ管理しにくいですよ。

      やっぱメモ帳(プレーンテキスト)が一番、ドヤッw
      いざとなれば cat して grep でも見られるし。
      その時の状況とか適当なメモもつけられるからチョー便利。
      俺の自宅サーバの /home/oresama/etc/passwd.txt にあるから、クラックしたら見てもいいよw

      • by Anonymous Coward

        おれもブラウザのパスワード管理はマスターバスワード設定してるけど、
        エクスポートした平文ファイルがバックアップNASに置いてあったりw

        • by Anonymous Coward

          暗号データって復号できなくなった時が怖いんだよな。
          不良セクタで少し欠けても全滅するし。

    • by Anonymous Coward

      1passwordでWiFi syncを使ってたけど、
      やはり母艦(PC)とモバイルの両方使わないと同期できないのは面倒だったな。
      今はクラウドにおいてしまってる。

      リスクなのはわかるけど、利便性とそれなりのセキュリティでやめられませんな。

typodupeerror

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

読み込み中...