LastPassがやられてしまったので状況を整理する

しばらく前にこんなことを書いた。

そして今日。

パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明

どう対応するべきか、ちょっと考えてみる。LastPassを勧めた記事を書いた手前、このnoteは本来有料マガジン用だが全文無料にする。ただし俺はこの手の分野は完全に素人なので、どこまで適切なことを書けるか分からないが。

実際のところ何が起きたのか。GIGAZINEは少々大げさに書くところがあるので、他ではどのように書かれているか調べる。

Notice of Recent Security Incident - The LastPass Blog

2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ～当初想定より深刻／マスターパスワード1つでギリギリ。大事な暗号化データは辛うじて保護

平文で盗まれたのは以下である。ユーザーの基本情報が抜かれた形だ。

• LastPassでのユーザー名

• 請求先住所

• メールアドレス

• 電話番号

• IPアドレス

暗号化された状態で盗まれたものは、LastPassに覚えさせたもの。

• ユーザー名

• パスワード

• セキュアノート

• その他覚えさせたもの

盗まれていないもの。

• LastPassのマスターパスワード

LastPassは保存されたパスワードなどをAES 256 暗号化で保護している。マスターパスワード無しで解読しようとした場合、最高の条件でも10~18年かかるらしい。これは一つの暗号化に対してなのだから、マスターパスワード無しで破られることはまず無いと言っていいだろう。

マスターパスワードをブルートフォース攻撃で解読するならどうか。今回は保管庫をまるごとコピーされているので、攻撃者は何度でも繰り返し挑戦することができる。この場合、マスターパスワードがどれくらい強力に作ってあるかで話は変わってくる。

パスワード解析されるまでの時間をまとめてみた【パスワードクラッキングについて】

これによれば、数字のみなら即死と言っていい。いろいろ組み合わせていても8文字以下ならダメそうだ。対して12文字以上で小文字と大文字の組み合わせならば、まず破られることはない。LastPassはマスターパスワードについて、以下を推奨している。

• 最低12文字で長いほど良い

• 大文字、小文字、数字、特殊文字を使用する

• 発音しやすく、覚えやすい、しかし簡単に推測されない

• 自分だけのもの

• 個人情報は絶対に使用しない

これからを守っていれば、まず突破されることはないのではないか。

しかし今回はLastPassユーザーのメールアドレスまで流出している。そのため、フィッシング詐欺の形でマスターパスワードを盗まれるリスクがある。マスターパスワードがあれば簡単に保管庫は開くのだから、こうなってしまえばもう終わりだ。

故にメールのリンクを踏んで開いたページでLastPassのマスターパスワードを入力するようなことは絶対にしてはならない。これは以前からそうあるべきだが、今はなおさらである。

一方でマスターパスワードを貧弱なものに設定していた人は、すぐに上記のような強力なパスワードに変更するべきである。マスターパスワードを他のサービスでも使いまわしていた人も同様だ。

以上を踏まえた上で、さらに安全性を求めるならば、重要な各サービスのパスワードを変更しておこう。そしてサービスによっては二要素認証を設定しておく。

以下参考になりそうなツイートを貼っておく。

Lastpassご利用の皆さんへのご注意。

今回のハッキング事件は暗号化されたユーザーデータ（保管庫）が盗まれた。なおURL・メール等、保管庫の一部のデータはテキストのままでそもそも暗号化されてなかった模様。暗号化された保管庫はすでに数週間、総当たり攻撃で複合化が試されてるであろう。
(1/5)

— Amin Azmoudeh | ｱﾐﾝ･ｱｽﾞﾑﾃﾞ (@aminimaz) December 23, 2022

強力なマスターパスワードご利用な場合は攻撃が成功する確率は極めて低いが、Lastpassの利用をそのまま継続するのは非常に危険。以下の対策をご検討ください。
①保管庫内の重要なアカウントすべてのパスワード変更、特にメール等
②二段階認証（2FA）トークンを保管庫で保存の場合は2FAの再設定
(2/5)

— Amin Azmoudeh | ｱﾐﾝ･ｱｽﾞﾑﾃﾞ (@aminimaz) December 23, 2022

③総当たり攻撃（ブルートフォースアタック）よりもフィッシングが手っ取り早い手段。メールが洩れた以上、来るのは時間の問題。今後「Lastpassハッキングでパスワード再設定の依頼」などのメールが多数来る恐れ。メール内のリンクは絶対クリックしない事。
(3/5)

— Amin Azmoudeh | ｱﾐﾝ･ｱｽﾞﾑﾃﾞ (@aminimaz) December 23, 2022

④暗号資産の秘密鍵を保管庫で絶対保存しないほうがよいが、もし保存していた場合は新しいウォレット生成と資産移動が必要。ハードウェアウォレットの場合は一旦ソフトウェアウォレットを介する必要がある。
(4/5)

— Amin Azmoudeh | ｱﾐﾝ･ｱｽﾞﾑﾃﾞ (@aminimaz) December 23, 2022

⑤各アカウントのパスワード変更後、Lastpassのマスターパスワードも要変更。今回の事件でデータ管理、保管庫の設計（暗号化されてないデータが含まれた）などは、パスワード管理ソフトとしてかなりずさんな状況が明らかになったので他のソフトへの移行もご検討されたほうが…。
(5/5)

— Amin Azmoudeh | ｱﾐﾝ･ｱｽﾞﾑﾃﾞ (@aminimaz) December 23, 2022

1Passwordに移行した (2022/12/28 追記)

Throw a marshmallow to 骨しゃぶり | Marshmallow