パスワードマネージャー「LastPass」で本人しか知らないマスターパスワードを使って他人がアクセスしようとする事態が複数発生

パスワードや個人情報を管理するパスワードジェネレーターの「LastPass」で、複数のユーザーが「マスターパスワードが侵害された」と警告するメッセージを受け取っていると報告しています。

Ask HN: How did my LastPass master password get leaked? | Hacker News
https://news.ycombinator.com/item?id=29705957

LastPass master passwords may have been compromised | AppleInsider
https://appleinsider.com/articles/21/12/28/lastpass-master-passwords-may-have-been-compromised

LastPass users warned their master passwords are compromised
https://www.bleepingcomputer.com/news/security/lastpass-users-warned-their-master-passwords-are-compromised/

音声広告を提供するdecibelの最高技術責任者であるGreg Technology氏は、ある日LastPassから「ブラジルからのログイン試行をブロックしました」というアラートメールを受け取ったそうです。

アラートメールによれば、そのログインはLastPassアカウントに設定しているマスターパスワードを使用していたとのこと。Greg氏が所有するLastPassアカウントのマスターパスワードは、暗号化されたローカルのKeePassXファイルに保存されていることから、Greg氏は「誰かが自分のKeePassXファイルとこのファイルのパスワードを把握している」と驚いたそうです。

Greg氏がこの問題をソーシャルニュースサイトのHacker Newsに投稿したところ、別のユーザーからも、「マスターパスワードは私の頭にしかなく、自分のPCと携帯電話でLastPassを使っただけなのに、同様の問題が起こりました」「私も、長い間使っていなかった古いLastPassアカウントで『ブラジルから誰かがログインしようとした』という警告メールが届きました。Have I been pwned?で検索をかけてみましたが、マスターパスワードが流出した様子はありませんでした」と、マスターパスワードを使って何者かにLastPassアカウントへアクセスを試みられたという報告が投稿されました。

また、Twitterでも同様の報告が挙がっています。

セキュリティ研究者のボブ・ディアチェンコ氏は「私が以前に報告したRedlineStealerというマルウェアのログで、LastPassのログインペアが何千件も見つかりました。これは偶然の一致でしょうか？」とコメント。ただし、IT系ニュースサイトのBleepingComputerによれば、今回アラートメールを受け取ったLastPassユーザーのメールアドレスは、このログには見つからなかったと報告しています。

IT系ニュースサイトのAppleInsiderがLastPassに質問したところ、「最近報告にあったブロックされたログインの報告を調査したところ、悪意のある攻撃者が他の無関係なサービスで流出したメールアドレスとパスワードを使ってLastPassのアカウントにアクセスしようとしていることがわかりました。現時点ではアカウントへのアクセスが成功したり、LastPassが不正に侵害されたりという兆候はありません」という返答があったとのこと。

AppleInsiderは「マスターパスワードをいますぐ変更し、2要素認証を有効にして、疑わしいログイン試行に十分注意することをオススメします。LastPassからパスワードを削除し、1PasswordやAppleのiCloudキーチェーンに移行するという手もあります」と呼びかけています。