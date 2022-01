2022年01月13日 07時00分 セキュリティ

「パスワードを人質に有料プランの契約を迫るべく意図的なバグを仕込んだ」としてパスワード管理アプリ「LastPass」が非難される



パスワード管理機能や生成機能を備えた「LastPass」において「無料プランではエクスポート機能へのアクセスが制限されている」「パスワードのエクスポートが不可能となるバグが存在する」といった問題が報告され、「LastPassは有料プランを契約させるためにユーザーのパスワードを人質にしている」と非難されています。



LastPassは無料プランでも強力なパスワード管理機能や生成機能を利用できるアプリとして人気を得ていましたが、2021年2月のプラン改定によって無料プランのユーザーは同時利用可能デバイスを1台までに制限され、デバイスの切り替えも3回までに制限されました。LastPassで管理中のパスワードをエクスポートする機能はデスクトップ版のLastPassにしか搭載されていないため、この制限強化によってスマートフォン版のLastPassを利用している無料ユーザーはパスワードをエクスポートできる回数が限られてしまいました。



人気パスワード管理アプリ「LastPass」の無料版にスマホかPCのいずれかからしか使えないような制限が追加 - GIGAZINE



また、redditユーザーのnametaken_thisonetoo氏によると、デスクトップ版LastPassのパスワードエクスポート機能には上述の制限強化と同時期からバグが存在しており、エクスポートが不可能な状態になっていたとのこと。nametaken_thisonetoo氏はこの件をLastPassに問い合わせましたが、問い合わせ窓口までの導線が非常に複雑なことに加えて問い合わせから数カ月経過しても問題が解決される気配はありませんでした。



nametaken_thisonetoo氏は上記のバグがFirefoxとGoogle Chromeという異なるブラウザ向け拡張機能に同様に存在することから「バグは意図的なものである」と推測。さらに、LastPassの有料プランに「優先的なサポート(Priority tech support)」というサービスが含まれていることを基に「これらの状況は全て、できるだけ多くの人がばかげた価格であるLastPassの有料プランにサインアップするように仕組まれているのです。パスワードへのアクセスは、インターネットを利用する全ての人にとって重要なことであり、一企業がパスワードを人質に取ることは容認できないことです」と持論を展開しています。





nametaken_thisonetoo氏の意見には多くの賛同が集まり、アプリ比較サービス・AlternativeToには「LastPassにおけるパスワードのエクスポートが不可能な状態が意図的なものであれば『データを機械可読性のある状態で受け取る権利』を定めたEU一般データ保護規則(GDPR)第20条に反しており、最大2000万ユーロ(約16億円)もしくは直前の会計年度における売上総額の4%以下の制裁金を課される可能性があります」という投稿も寄せられています。



その後、LastPassによって対応が行われ、nametaken_thisonetoo氏は無事にパスワードをエクスポートできたとのこと。しかし、nametaken_thisonetoo氏は「どんなことがあってもLastPassには触れないのがオススメです」と述べ、LastPassから「Bitwarden」に移行したことを明かしています。



なお、実際にLastPassからBitwardenへパスワードを移行する方法は以下の記事で詳しく解説しています。



無料版が機能制限された人気パスワード管理サービス「LastPass」から「Bitwarden」に移行する方法 - GIGAZINE