LastPass のセキュリティ侵害: 身を守る方法

公開: 2023-01-05

LastPass の侵害について知っておくべきこととすべきこと

WordPress コミュニティの多くのユーザーと同様に、LastPass ユーザーであれば、代替のパスワード管理ソリューションを探しているかもしれません。 LastPass で大規模なセキュリティ侵害が発生した後、同社はタイムリーに開示しなかったため、データが危険にさらされる可能性があります。Bitwarden または 1Password への切り替えを検討する必要があります。 さらに良いことに、可能な場合はパスキーの使用を開始してください。パスキーを使用すると、パスワードなしのログインが究極のセキュリティ ソリューションになります。 最後に、他人のデータのセキュリティを担当している場合、またはコミュニケーションの役割を担っている場合は、LastPass の過ちから学ぶことができます。主に何をすべきでないかです。 何が起こったのか、何が起こるべきだったのか、オンライン アカウントを事前に保護する方法を見てみましょう。

LastPass のセキュリティ侵害

穴を深く掘っても抜け出せない

LastPass は、顧客のマスター パスワード、データ、および個人情報が安全であることを明確に保証しました。 私たちの重要なアカウント情報は完全に安全でした。 残念ながら、これはまったく真実ではありませんでした。

2022 年 8 月、LastPass の CEO である Karim Toubba は、深刻で進行中のセキュリティ侵害に関する一連のますます重大な公開開示の最初のものを投稿しました。 最初の開示では、「権限のない者」が、「侵害された単一の開発者アカウント」を悪用して、LastPass エンジニアの開発環境に部分的にアクセスしたと述べています。 侵入者は、一部のソース コードと「LastPass の専有技術情報」を盗みました。 ただし、Toubba 氏は、LastPass パスワード管理プラットフォーム自体やその顧客への影響はないと述べています。 彼は、LastPass の顧客に対して、マスター パスワード、データ、および個人情報が安全であることを明確に保証しました。 私たちの重要なアカウント情報は完全に保護されており、侵入者に触れることはありませんでした.

残念ながら、これはまったく真実ではありませんでした。

LastPass で実際に起こったこと

11 月下旬から、Toubba は LastPass の開示内容をさらに更新し、TechCrunch の Zack Whittaker が解析して、LastPass が説明していないことを示しました。 最終的に、LastPass は、攻撃者が以前の侵害で「取得した情報」によって可能になった 2 回目の侵害で顧客データの一部を盗んだことを明らかにしました。 最初に、攻撃者は 1 人の LastPass 開発者を標的にし、次に別の開発者を標的にして、LastPass の親会社である GoTo のクラウド ストレージを含む、LastPass のシステムにさらに侵入しました。 (GoTo は LogMeIn と GoToMyPC も所有しています。)

不穏な動きとして、GoTo は検索エンジンからの開示を隠しました。

その後、クリスマスの直前に、Toubba は LastPass の違反開示を再び更新しました。 彼は、攻撃者が暗号化された LastPass 顧客パスワード保管庫のバックアップ スナップショットを盗んだことを確認しました。 Toubba はまた、スナップショットを持っている人なら誰でもブルート フォース メソッドを使用して、暗号化された顧客パスワード ボールトをクラックできることを認めました。 この侵害には、LastPass の顧客の名前、会社名と電子メール アドレス、電話番号と IP アドレス、URL、メモ、フォーム データ、および一部の請求情報が含まれていました。

これは悪いことではありません。

信じられないことに、この「更新」には、LastPass が経験した規模のセキュリティ侵害に対する適切な緊急性が感じられません。

LastPass からの悪いクライシス コミュニケーションの影響

LastPass は、盗まれたデータに含まれるユーザー アカウントの数などの重要な事実を明らかにしていません。 したがって、2,500 万人以上の LastPass ユーザー (2022 年 11 月現在) 全員が、これらのセキュリティ侵害による危険にさらされていると想定する必要があります。 さらに、盗まれたバックアップ ファイルに古い個人データやパスワード ボールト データが含まれている場合、以前の顧客でさえ危険にさらされる可能性があります。

一連の相反するセキュリティ開示は、あなたとあなたのブランドに信頼を置いている人々の前でのコンビネーション パンチのようなものです。

私は長年、LastPass を使用して、他の人のパスワードにアクセスし、彼らが仕事で私と共有しています。 このサービスを自分で使用するために料金を支払ったことはありませんが、この理由で LastPass のアカウントを維持する必要がありました。 LastPass からセキュリティ侵害の通知を他の顧客と同じようにメールで受け取り、すぐに心配になりました。 WordPress プロフェッショナル向けの人気コミュニティ フォーラムである Post Status Slack で、このトピックが話題になっていることに気付きました。 Patchstack の Developer Advocate である Robert Rowley は、そこでニュースを共有しました。 彼は、「マスターパスワードや保存されたパスワードは漏洩していません。 処置は必要ありません。」 他の何百万人もの Patchstack ユーザーと同様に、私たち全員が会社の説明を信頼していましたが、それは間違いでした。

その後、Patchstack と WordPress コミュニティの他のメンバーが、GoTo が侵害の開示を抑制したというニュースを共有しました。 12 月、Rowley は再びコメントし、私たち全員が信じていた最初の声明からどれだけ離れているかを観察しました。 「顧客の保管庫へのアクセスはありませんでした。」 ローリー氏は、一連の矛盾した開示を殴られることと比較して、「これは信頼の喪失の左右の組み合わせと見なすことができます。更新ごとにインシデントが悪化します。」

LastPass で何が起こるべきだったか

結局のところ、信頼は技術や技術的な概念ではありません。 人間関係についてです。 信頼は、人々、特にあなたに信頼を置いている人々をどのように扱うかにかかっています。

オープンソース コミュニティでは、障害に対する透明性を重視しています。 特にセキュリティに関しては、責任ある開示の文化を維持し、保護するよう努めています。 オープンソース ソフトウェア製品に脆弱性が発見された場合は、その所有者と保守担当者に静かに通知します。 悪用可能なコードにパッチを適用したら、すぐにユーザーに警告し、完全な開示を行うことを期待しています。 最優先事項として、それが非常に迅速に行われることを期待しています。 このようにして、オープンソース コミュニティのメンバーは、プロプライエタリ ソフトウェアで頻繁に発生する問題を覆い隠すのではなく、すべての人に影響を与える問題を解決するのを互いに助けようとします。

悪意のある個人が高価値の個人識別情報 (PII) を盗む場合にも、同様の倫理が適用されます。 セキュリティ侵害通知に関する法律は州や国によって異なりますが、影響を受ける人々にタイムリーに開示する必要があります。 これは単純な礼儀ではなく、法律上および倫理上の義務です。

セキュリティでは、信頼がすべてです

すべてのセキュリティ違反は、信頼を損なう可能性があります。 それらはすべて、遅延によって深刻化した場合にのみ悪化する可能性のある悪い状況です。 不正確で不完全な情報を開示することは、LastPass で見られたように、企業やブランドにとって破滅的な結果をもたらす可能性があります。

顧客をひどく裏切ったのに、そのような無責任で、自己中心的で、必然的に自己破壊的な行動を示す会社を、なぜ誰も信用しなければならないのでしょうか? 顧客への危害を軽減することに焦点を当てた正直で直接的で明確なコミュニケーションが、物事をより良くする唯一の可能な方法です。

結局のところ、信頼は技術や技術的な概念ではありません。 人間関係についてです。 信頼は、人々、特にあなたに信頼を置いている人々をどのように扱うかにかかっています。 私たちは常に約束を果たすとは限らず、失敗は常に可能です。 最悪の事態が起こったときに信頼を回復する唯一の方法は、起こったことを認め、すべてを正直に説明することです。

LastPass ユーザーはセキュリティ侵害にどのように対応する必要がありますか?

LastPass がこの違反を明らかにした方法を考えると、LastPass でパスワード保管庫を保護するための追加のセキュリティ対策は役に立ちません. まず、1Password、Bitwarden、NordPass などの新しいパスワード マネージャーに移行し、次に最も重要なこととして、LastPass ボールトに資格情報を保存した重要なサイトやアプリケーションのパスワードを変更することから始めましょう。 まだ行っていない場合は、これらのサイトに 2 要素認証を追加することは非常に賢明な方法です。

最も重要なことは、LastPass に保存したすべてのユーザー アカウントのすべてのパスワードをすぐに変更することです。

保管庫が強力なマスター パスワードで保護されていない場合、最終的にすべてのオンライン アカウントが危険にさらされます。 強力なマスター パスワードを持っていたとしても、ブルート フォースによってクラックされる可能性があります。

データが復号化されるかどうかは問題ではなく、いつ問題になるかです。 この漏えいが、LastPass が顧客の保管庫が影響を受けたと発表する 5 か月前に発生したことを考えると、悪意のある攻撃者はすでに有利なスタートを切っています。 そのため、LastPass に保存したすべてのアカウントの資格情報のセキュリティ保護を開始することが重要です。

そのため、次に行う最も重要なことは、LastPass に保存したすべてのアカウントのすべてのパスワードを変更することです。 最も重要なものを最初に優先します — 金融口座、サイト管理者アカウント、および損失があなたに多大な損害を与える可能性のあるその他のものなど.

LastPass を離れる時が来ました

最後に、LastPass アカウントを閉鎖し、Bitwarden や 1Password などの別のサービスに移行することをお勧めします. Bitwarden には、LastPass アカウント レコードをインポートするための移行ツールがあります。 1Passwordもそうです。

LastPass から離れる時が来ました。 優れたオープンソースの代替手段である Bitwarden の使用を検討してください。 Bitwarden のソース コードは Github でレビューでき、セキュリティ研究者によって頻繁に監査されています。 有料アカウントは年間わずか 10 ドルなので、予算が限られている人でも簡単にプロジェクトをサポートできます。 必要に応じて、自分の Bitwarden ボールトを自分でホストすることもできます。

LastPass から離れる時が来ました。 1Password に費やす資金がある場合は、利用可能な他の多くのパスワード マネージャーよりも強力な代替手段です。 彼らのセキュリティ設定は、保管庫を保護するための秘密鍵にも依存しています。 1Password は多くのセキュリティ プロフェッショナルに選ばれており、多数のアカウントへのアクセスを必要とするチームがボールト アクセスを共有するための優れたシステムを備えています。

もう 1 つの選択肢は Bitwarden です。 オープンソース ツールである Bitwarden のソース コードは、セキュリティ研究者によって頻繁に監査されている Github でレビューできます。 有料アカウントは年間わずか 10 ドルなので、予算が限られている人でも簡単にプロジェクトをサポートできます。 必要に応じて、自分の Bitwarden ボールトを自分でホストすることもできます。

独自のセキュリティ プラクティスを再考する機会

あなたが顧客でなくても、LastPass の侵害は、独自のセキュリティ ポリシーについて考える良い機会です。 LastPass のようなパスワード マネージャーの主な機能は、オンライン アカウントへのアクセスを他のユーザーと共有できることです。 多くのオンライン サービスと職場のニーズに制限があるため、利便性を考えてアカウント アクセスを共有する必要があります。 ただし、アカウントを共有することは、原則として、非常に悪いセキュリティ慣行です。 Twitter のような単一ユーザーのソーシャル メディア アカウントへのアクセスを複数の人に許可しないでください。 代わりに、マルチユーザー ソーシャル メディア マネージャー アプリを使用してください。 次に、プライマリ アカウントを失う危険を冒すことなく、任意の数の人がツイートを送信できるようにすることができます。 また、そのような人が退職したり役割を変更したりすると、アクセス権限の管理がはるかに簡単になります。

原則として、アカウントの資格情報を共有することは、非常に悪いセキュリティ プラクティスです。

LastPass などのアプリで共有されているパスワードへのアクセスを許可した人は、それらのパスワードを永久に保持できます。 彼らはそれらを書き留めるかもしれません。 便宜上、ブラウザのパスワード マネージャーにパスワードを保存することがあります。 どのチームや組織にも、人は行き来します。 適切なセキュリティ対策として、未使用のアカウントを削除し、パスワードを遅滞なく変更する必要があります。 これを実践していますか? あなたはそれをどのくらいうまくやっていますか? できるだけ簡単かつ明確にしましたか? この重要な責任を特定の人に委任しましたか? チームのアクセス権限をチェックおよび監査するのは誰ですか? 彼らはどのくらいの頻度でそれをしますか?

自分自身の最悪のシナリオについて考えてみてください。 顧客データを漏えいさせた侵害についてのコミュニケーションをどのように処理しますか? これが起こらないように、どのように予防的な予防戦略に戻ることができますか?

これらの重要な責任を無視できないほど小さな企業はありません。 明日の壊滅的な侵害のリスクを下げるために、今日何ができるでしょうか?

勝利のためのパスキー! デジタル セキュリティの未来

このイベントは、パスワードの問題を浮き彫りにします。 パスワード マネージャーはより複雑なパスワードをサポートしようとしており、2 要素認証は別のセキュリティ層を提供しようとしています。 しかし、Verizon のデータ セキュリティ レポートによると、実際に 2FA を使用しているユーザーは 30% 未満です。 パスワードは本当に壊れています。 パスキーは、前進するソリューションです。

パスキーは、キー フォブやスマート カードなどの物理デバイスを使用してユーザーの身元を確認する認証方法の一種です。 ますます一般的な生体認証ログイン方法を備えたコンピューターまたは電話を使用して、Web サイトでの身元を認証することもできます。 パスキーは、追加のセキュリティ層を提供するため、パスワードなどの他の認証方法よりも安全であると考えられています。

パスキーを使用すると、従来のはるかに安全性の低いサイト ログインをバイパスできます。

お使いのコンピューターが銀行口座 (または iThemes Security Pro を使用している場合は WordPress サイト) のパスキーを備えた既知の信頼できるデバイスである場合、従来のサイト ログインをバイパスできます。 Web サイトがデバイスを認識し、Apple デバイスの Touch ID または Microsoft の Windows Hello を介して指紋を要求するだけで十分です。

真の安心はパスワードレス

パスキーの利点の 1 つは、パスワードのように簡単に推測したり解読したりできないことです。 パスワードは、ハッカーが一般的なパスワードのリストをテストしてアカウントへのアクセスを試みる辞書攻撃に対して脆弱である可能性があります。 一方、パスキーは通常一意であり、簡単に複製できないため、侵害するのがはるかに困難になります。

パスキーによって、LastPass のようなパスワード マネージャーはすぐに不要になるかもしれません。

さらに、パスキーは、デバイスのパスワードや生体認証などの他の認証方法と組み合わせて使用​​することで、さらに高いレベルのセキュリティを提供できます。 これは多要素認証と呼ばれ、ハッカーがアカウントにアクセスするのが非常に難しくなる可能性があります。

パスキーによって、LastPass のようなパスワード マネージャーはすぐに不要になるかもしれません。 LastPass が経験したような大規模なプラットフォームのセキュリティ侵害は過去のものになる可能性があるため、これにより Web がより安全になります。 WordPress または WooCommerce サイトを運営している場合、iThemes Pro のパスキー機能を使用して、自分自身とユーザーにパスワードなしのログインの高いセキュリティと比類のない利便性を提供できます。