LastPass ユーザーのマスター・パスワードが侵害された?

LastPass users warned their master passwords are compromised

2021/12/28 BleepingComputer — 数多くの LastPass ユーザーが、誰かが不明な場所から自身のアカウントにログインしようと試みたと、警告するメールを受け取った後に、マスター・パスワードが侵害されたという報告を受けている。この電子メール通知には、見知らぬ場所からのログイン試行が、ブロックされたと記載されている。

「誰かがあなたのマスター・パスワードを使用して、私たちが認識していないデバイスまたは場所から、あなたのアカウントにログインしようと試みた。LastPass は、この試みをブロックしたが、詳しく調べる必要がある。これはあなたですか?」とログイン・アラートは警告する。

LastPass のマスター・パスワードが漏洩したという報告は、Twitter/Reddit/Hacker News などの、複数の SNS などを通じても寄せられている。

LastPass はクレデンシャル・スタッフィングだと言っている

Global PR/AR の Senior Director である Nikolett Bacso-Albaum が BleepingComputer に語ったところによると、「LastPass は、ログイン試行がブロックされたという最近の報告を調査し、この活動は、かなり一般的なボット活動に関連していると判断した。この活動では、悪意の行為者が、他のサービスに関連する第三者の侵害から得た電子メールアドレスとパスワードを使用し、LastPass ユーザー・アカウントにアクセスしようと試みている」と述べている。

彼は「注意すべきは、アカウントへのアクセスが成功したという兆候や、LastPass サービスが不正に侵害されたという兆候がないことだ。当社は、この種の活動を定期的に監視しており、LastPass のユーザーおよびデータが確実に保護され、安全であることを保証するための措置を、引き続き講じていく」と付け加えている。

しかし、これらの警告を受けたユーザーは、自分のパスワードは LastPass に固有のものであり、他では使用していないと述べている。BleepingComputer は、これらの懸念について LastPass に問い合わせたが、現在のところ回答は得られていない。

また、ログイン警告を受け取ってからマスター・パスワードを変更したところ、パスワードを変更した後にも警告が届いたという報告もある。さらに悪いことに、これらの警告を受け取った後に、LastPass アカウントの無効化および削除を試みたユーザーからは、削除ボタンをクリックした後に「Something went wrong: A」というエラー・メッセージが表示されたとの報告もある。

2年前の2019年9月に、LastPass はパスワード・マネージャーの Chrome 拡張機能のセキュリティ脆弱性を修正した。この脆弱性により、サイトへのログインに最後に使用した認証情報を、脅威アクターに盗まれるという可能性があった。LastPass のユーザーは、マスター・パスワードが漏洩した場合でも、多要素認証を有効にし、アカウントを保護するよう推奨する。

パスワード・マネージメントを提供する LastPass に関連する記事としては、2021年9月の「Google Chrome/Chromium で発見された Spook.js サイドチャネル攻撃とは?」があります。この記事には、「Spook.js が、Chrome Extension である LastPass のマスター・パスワードを回復 (recover) することで、ユーザーのパスワード保管庫に保存されている、すべての認証情報にアクセスできることを示した」と記されていますが、それに対する修正との関連性はどうなんでしょうか?また、「パスワードに関する調査:再利用は? 難読化は? 多要素認証は?」という記事にも、LastPass は登場しています。

%d bloggers like this: