パスワード管理アプリ「LastPass」で盗まれた顧客データ。わずか100ドルと2ヶ月で解読される可能性-携帯総合研究所
絆ワークプロジェクトでは、社員の引き抜きやデータ不正持ち出しなど、企業の不正に関する事例について取り上げ、皆様へ情報共有を行っております。
◇◇◇
パスワード管理アプリ「LastPass」で盗まれた顧客データ。わずか100ドルと2ヶ月で解読される可能性
この事例の3つのポイント
①パスワード管理アプリの個人データが流出
②個人データが販売されている
③運営側の対応に批判殺到
Android版だけで1,000万ダウンロードを超えるパスワード管理アプリ「LastPass」は、たびたびセキュリティ問題が指摘されていると、携帯総合研究所が報じている。
2015年にはハッキングによってメールアドレスやパスワードリマインダー、ユーザーごとのソルト、認証ハッシュが漏えいし、今年8月には不正アクセスによってソースコードの一部が盗まれる事件が発生。
ソースコードが盗まれた際、ユーザーの個人情報や暗号化されたパスワードなどのデータは影響を受けないと当初説明したものの結局は流出する事態に。
それでもLastPassは安全性を説明していますが、複数のセキュリティアナリストが「(説明の)半分だけが本当のことでほとんどウソ」「LastPassの長い歴史における無能さ、無関心さ、怠慢さから遠く離れることを勧める」と痛烈に批判し、ライバルの1Passwordは100ドルで流出したデータにアクセスできる可能性を指摘してるといいます。
8月の不正アクセス事件の直後、LastPassは顧客データや暗号化されたパスワード保管庫にアクセスされたことを示す形跡は見つからなかったと説明していましたが、その後、流出した情報が使用されたことによって顧客データの特定要素にアクセスされたことを認めています。
顧客データの特定要素には、パスワード保管庫のコピー、名前、メールアドレス、請求先の住所、電話番号といった重要性の高い情報が含まれているものの、パスワード保管庫が強力に暗号化(AES-256bit)されていることから、LastPassにも保存されていない・知らないマスターパスワードがなければアクセスできないと説明していますが、ユーザーの不安は募るばかりでしょう。
