LastPass を使用したことがある場合は、今すぐすべてのパスワードを変更する必要があります

何百万人ものユーザーのサインイン資格情報を含む個人情報とパスワード保管庫が犯罪者の手に渡っています。パスワード マネージャーの LastPass を使用したことがある場合は、すべてのパスワードを今すぐ変更する必要があります。そして、すぐに自分自身を守るためのさらなる対策を講じる必要があります。

2022 年の LastPass データ侵害で何が起こったのか?

LastPass は、「フリーミアム」モデルで動作するパスワード管理サービスです。ユーザーは、LastPass を使用してオンライン サービスのすべてのパスワードとログインを保存し、Web インターフェイス、ブラウザー アドオン、および専用のスマートフォン アプリを介してそれらにアクセスできます。

パスワードは「ボールト」に保存され、単一のマスター パスワードで保護されます。

2022 年 8 月、LastPass は、犯罪者が侵害された開発者アカウントを使用して、LastPass の開発環境、ソース コード、および技術情報にアクセスしたことを発表しました。

詳細は 2022 年 11 月に発表され、LastPass は一部の顧客データが開示されたと付け加えました。

12 月 22 日に、LastPass のブログ投稿で、犯罪者が以前の攻撃で取得した情報の一部を使用して、顧客の名前、住所、電話番号、電子メール アドレス、IP アドレスなどのバックアップ データを盗んだことが明らかになり、侵害の真の深刻度が明らかになりました。部分的なクレジット カード番号。さらに、暗号化されていない Web サイトの URL とサイト名、および暗号化されたユーザー名とパスワードを含むユーザー パスワード ボールトを盗むことに成功しました。

犯罪者が LastPass のマスター パスワードを解読するのは難しいですか?

理論的には、はい、ハッカーはマスターパスワードを解読するのが難しいと感じるはずです. LastPass のブログ投稿では、デフォルトの推奨設定を使用すると、「一般に利用可能なパスワード クラッキング テクノロジを使用してマスター パスワードを推測するには、何百万年もかかるでしょう」と記されています。

LastPass では、マスター パスワードを 12 文字以上にする必要があり、「他の Web サイトでマスター パスワードを再利用しないこと」を推奨しています。

ただし、LastPass は、ユーザーがマスター パスワードを紛失した場合にパスワードのヒントを設定できるという点で、パスワード管理サービスの中でも独特です。

これにより、ユーザーはパスワードの一部として、真にランダムで強力なパスワードを使用するのではなく、辞書の単語やフレーズを使用するようになります。パスワードが「lVoT=.N]4CmU」の場合、パスワードのヒントは役に立ちません。

LastPass のパスワード保管庫は、しばらく前から犯罪者の手に渡っており、暗号化されていても、最終的にはブルート フォース攻撃を受ける可能性があります。

攻撃者は、一般的に使用されるパスワードの大規模なデータベースが存在するため、作業が容易になります。たとえば、 haveibeenpwnedから 6 億 1300 万の最も一般的なパスワードを含む 17 GB のパスワード リストをダウンロードできます。その他のパスワードと資格情報のリストは、ダーク Web で入手できます。

個々のボールトに対して 5 億個の最も一般的なキーのそれぞれを試すには数分かかります。必要な 12 文字は比較的少数ですが、サイバー犯罪者はかなりの割合のボールトに簡単に侵入できる可能性があります。

それに加えて、コンピューティング能力は年々向上しており、動機のある犯罪者は分散ネットワークを使用してその努力を支援できるという事実があります。「数百万年」というのは、ほとんどのアカウントにとって実行可能ではないようです。

LastPass の侵害はパスワードに影響するだけですか?

ニュースの見出しは、犯罪者が時間をかけて LastPass の保管庫に侵入する可能性があることですが、犯罪者は、名前、住所、電話番号、電子メール アドレス、IP アドレス、クレジット カード番号の一部を使用して、別の方法であなたを利用することができます.

これらは、あなたとあなたの連絡先に対するスピアフィッシング攻撃、個人情報の盗難、あなたの名前でのクレジットやローンの引き出し、SIM スワップ攻撃など、さまざまな悪意のある目的に使用される可能性があります。

LastPass のデータ侵害後にどのように身を守ることができますか?

数年以内にマスター パスワードが侵害され、そこに含まれるすべてのパスワードが犯罪者に知られるようになると想定する必要があります。今すぐ変更して、これまでに使用したことのない固有のパスワードを使用し、一般的に使用されているパスワード リストのいずれにも含まれていないパスワードを使用してください。

LastPass から取得された他のデータ犯罪者に関しては、クレジットを凍結し、クレジット監視サービスを利用して、あなたの名前で新しいカードまたはローンの申し込みを監視する必要があります。それほど不便なく電話番号を変更できる場合は、それも行う必要があります。

自分のセキュリティに責任を持つ

パスワード保管庫や個人情報が犯罪者の手に渡ったデータ侵害について、LastPass のせいにするのは簡単ですが、あなたの生活を保護し、独自のコンボを生成するのに役立つパスワード管理サービスは、依然としてオンライン生活を保護するための最良の方法です.

泥棒になりそうな人が重要なデータを入手するのをより困難にする 1 つの方法は、独自のハードウェアでパスワード マネージャーをホストすることです。安価で簡単に実行でき、VaultWarden などの一部のソリューションは、Raspberry Pi Zero にデプロイすることもできます。