LastPassがやられてしまったので状況を整理する

honeshabri

しばらく前にこんなことを書いた。

そして今日。

どう対応するべきか、ちょっと考えてみる。LastPassを勧めた記事を書いた手前、このnoteは本来有料マガジン用だが全文無料にする。ただし俺はこの手の分野は完全に素人なので、どこまで適切なことを書けるか分からないが。

実際のところ何が起きたのか。GIGAZINEは少々大げさに書くところがあるので、他ではどのように書かれているか調べる。

平文で盗まれたのは以下である。ユーザーの基本情報が抜かれた形だ。

  • LastPassでのユーザー名

  • 請求先住所

  • メールアドレス

  • 電話番号

  • IPアドレス

暗号化された状態で盗まれたものは、LastPassに覚えさせたもの。

  • ユーザー名

  • パスワード

  • セキュアノート

  • その他覚えさせたもの

盗まれていないもの。

  • LastPassのマスターパスワード

LastPassは保存されたパスワードなどをAES 256 暗号化で保護している。マスターパスワード無しで解読しようとした場合、最高の条件でも10~18年かかるらしい。これは一つの暗号化に対してなのだから、マスターパスワード無しで破られることはまず無いと言っていいだろう。

マスターパスワードをブルートフォース攻撃で解読するならどうか。今回は保管庫をまるごとコピーされているので、攻撃者は何度でも繰り返し挑戦することができる。この場合、マスターパスワードがどれくらい強力に作ってあるかで話は変わってくる。

これによれば、数字のみなら即死と言っていい。いろいろ組み合わせていても8文字以下ならダメそうだ。対して12文字以上で小文字と大文字の組み合わせならば、まず破られることはない。LastPassはマスターパスワードについて、以下を推奨している

  • 最低12文字で長いほど良い

  • 大文字、小文字、数字、特殊文字を使用する

  • 発音しやすく、覚えやすい、しかし簡単に推測されない

  • 自分だけのもの

  • 個人情報は絶対に使用しない

これからを守っていれば、まず突破されることはないのではないか。

しかし今回はLastPassユーザーのメールアドレスまで流出している。そのため、フィッシング詐欺の形でマスターパスワードを盗まれるリスクがある。マスターパスワードがあれば簡単に保管庫は開くのだから、こうなってしまえばもう終わりだ。

故にメールのリンクを踏んで開いたページでLastPassのマスターパスワードを入力するようなことは絶対にしてはならない。これは以前からそうあるべきだが、今はなおさらである。

一方でマスターパスワードを貧弱なものに設定していた人は、すぐに上記のような強力なパスワードに変更するべきである。マスターパスワードを他のサービスでも使いまわしていた人も同様だ。

以上を踏まえた上で、さらに安全性を求めるならば、重要な各サービスのパスワードを変更しておこう。そしてサービスによっては二要素認証を設定しておく。

以下参考になりそうなツイートを貼っておく。

1Passwordに移行した (2022/12/28 追記)

ここから先は

0字
この記事のみ ¥ 100

ログイン

人に対し何かをしてあげるという事は、全て「見返り」を期待しての行為だ。noteのサポートは文章を読むための「見返り」である。