パスワードマネージャー「LastPass」に重大な脆弱性、ユーザーが行うべき3つの対策はコレ

Googleの研究者が、パスワードマネージャー「LastPass」に悪意のある者がユーザーのパスワードを盗み出したり、コードを実行したりできる深刻な脆弱性があることを明らかにしました。LastPassは脆弱性の修正に対応しているところで、その間はユーザーに対して「プラグインを使わない」などの対策をとるよう警告しています。

Security Update for the LastPass Extension | The LastPass Blog
https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/

LastPass warns users to exercise caution while it fixes 'major' vulnerability | Technology | The Guardian
https://www.theguardian.com/technology/2017/mar/30/lastpass-warns-users-to-exercise-caution-while-it-fixes-major-vulnerability

他社のサービスや製品に存在するセキュリティ上の脆弱性を見つけ出すGoogleの「Project Zero」の研究者であるTavis Ormandy氏は、LastPassに深刻な脆弱性があるとツイートしました。Ormandy氏はこの脆弱性を悪用する方法は公表しておらず、LastPassに対してだけに脆弱性の詳細を伝え、問題の修正を求めています。

これを受けたLastPassは公式ブログで問題に対処していることを発表。ブログでは「私たちは積極的に問題に対処しています。この脆弱性を通じた攻撃は独特で高度に洗練されており、悪意のある攻撃を促す可能性があるため、脆弱性の詳細については伝えることができません」としています。その代わりに、LastPassは脆弱性が修正されるまでの間、ユーザーに対して以下の3つの対策をとるよう求めています。

・LastPass Vaultからサービスにアクセスすること(プラグインを使わないこと)
・二段階認証を有効にすること
・フィッシング攻撃に注意すること

LastPassに限らず、たびたびパスワードマネージャーの脆弱性が指摘されていますが、それでも多くのセキュリティ専門家がパスワードマネージャーの使用を推奨しています。これは多くのユーザーにとって、個別のパスワードマネージャーを狙った攻撃よりも、「パスワードの使い回し」の方が危険性が高いため。一方で、一部のセキュリティ専門家は、パスワードマネージャーを使用することはハッキングの危険があるだけでなく、マスターパスワードを忘れるとすべてのパスワードにアクセスできなくなるというリスクがある点について、懸念を抱いています。

・追記 2017年4月4日 9:50
LastPassが公式ブログを更新し、脆弱性の対応が完了したこと、および原因について報告しています。今回Googleの研究者が指摘した脆弱性は、ブラウザ拡張機能から情報が盗み出されたり、操作されたりする可能性があったもの。脆弱性を突いた攻撃を行うには、フィッシング攻撃などで誘導された悪意のあるウェブサイトや、悪意のあるアドウェアに感染したウェブサイトを経由する必要があり、悪意のあるウェブサイトを経由した個々のユーザーのローカルブラウザから、コードが実行される恐れがあったそうです。

すでに問題のあったすべてのブラウザ拡張機能は修正済みで、各拡張機能ストアで最新のアップデート版(4.1.44以上)が公開済み。インストール済みのLastPassの拡張機能は自動的にアップデートされますが、LastPassは手動で最新版になっているか確認するよう求めています。なお、影響があったのはLastPassのブラウザ拡張機能のみで、iOS・Android・Windows Phoneのアプリには問題ないとのことです。