ほんとうに大事なものはネットに頼ってはいけない「LastPass(ラストパス)」ハッキング
ネット上で、あらゆる場面で求められるパスワード。
皆さんは、パスワードの管理をどのようにされているのだろうか?
アメリカのパスワード管理サービスを手がける「LastPass(ラストパス)」は、6月15日、社内のコンピューターシステムに不正侵入され、ユーザーの電子メールアドレスや認証ハッシュなどがハッキングされたと発表した。
2011年にもハッキング被害に遭い、ユーザーの情報が危険に晒されたのは今回で2度目だ。
流出されたものには、パスワードを忘れた際の質問文であるパスワードリマインダー、暗号化されたマスターパスワードも含まれる。
「LastPass(ラストパス)」は、様々なサイトで使用する複数のパスワードを、ネット上で1箇所に保存し、1つのマスターパスワードでアクセスできるサービスだ。
複数の銀行に預金している通帳を、ある一つの金庫にまとめて保管するというイメージ・・・といえば理解しやすいだろうか。
その金庫の鍵が他人に奪われたと同様のことが起きたのだ。
ハッキングされた形跡が発覚したのは12日の金曜日だ。
「LastPass」のブログでは、流出したのは、「LastPass」の登録アカウントの電子メールアドレス、パスワードリマインダー、ユーザーごとのソルト、認証ハッシュなどだと発表している。
暗号化されたユーザー保管庫のデータが盗まれたり、ユーザーアカウントへの不正アクセスの形跡はないとしている。
盗まれた認証ハッシュなどについても、強力な暗号化措置を取っているため、大多数のユーザーに被害はないと説明している。
つまり、通帳は盗まれたが、印鑑やキャッシュカードは無事である・・・といった説明といえるだろうか。
サイバーセキュリティー企業ラピッド7は、今回のハッキングは、攻撃する側がマスターパスワードに対して総当たり攻撃可能なツールが全てそろったと解説している。
例えば、パスワードリマインダーの「あなたの出身地は?」という質問は、昨今のSNSの情報から簡単に手に入れることができる。
「LastPass」では、全ユーザーに電子メールで、このハッキングについて知らせ、安全のために、ユーザーにマスターパスワードの更新を勧告している。
多要素認証(*1)を有効にしていないユーザーには、新しいデバイスやIPアドレスからログインする際に、電子メールでアカウント認証を行うことを義務付けた。
企業の中には、事業の管理にGoogleアカウントを複数人で管理し、ログイン場所やIPアドレスから、注意勧告のメールが届いたという経験もしているだろう。
今回、2度目のハッキングの件で、Googleのセキュリティへの意識の高さを評価し、ログインにグーグル認証を使用した方がいいという一般人の意見もある。
公にパスワードをまとめて一括管理するツールとして発表すれば、狙われる可能性は高くなるのは当然だ。
なぜなら、ハッカーから見れば、そこに、多くの餌が存在しているわけである。
餌場と思われない場所に保管するか、ネット上に、大事なものは置かない心構えが必要であろう。
筆者は、僭越ながら、臆病なほどに、非常に慎重な人間である。
なので、パスワードは、紙に書いて、保管している。
自分のPCの中や、HDに、パスワードを保管している場合、物理的にPCが壊れたり、HDが動かなくなった場合、登録メールアドレスやパスワードも分からなくなる。
HPのバックアップとして、二重三重に、バックアップを取ったり、サーバーを複数用意する慎重派もいるだろうが、ビジネスとして、責任やリスクマネジメントのためであることがほとんどであろう。
個人が、複数のHDにパスワードを保管する作業を行うというのは、非常に稀であるといえよう。
だからこそ、自分のPC以外で、簡単に一つのマスターパスワードで管理できる「LastPass」を利用する者もいるのだろう。
とはいえ、本当に大事なものは、他人に委ねることはしないことが得策であろう。
筆者のように、紙に書いておけば、自分の死後も、僅かな周囲の人間にしか、見ることはできない。
時代に趨勢の中、ユーザーは、数十から百近いパスワードを使い分ける必要性に迫られている。
複数のサイトで同じパスワードを使用する危険性は極めて高い。
とはいえ、数十から百近いパスワードを記憶するのは不可能なことだ。
だからこそ、専門家も、「LastPass」のようなパスワード管理サービスを推奨していた。
皮肉なことに、最後の砦は、非常にアナログな紙に書くことに、筆者としてはいきついた。
とはいえ、このグローバル社会の中、日本の「LastPass」ユーザーにアドバイスをするとしたら、マスターパスワードを変更し、設定で日本からのログインのみを可能にするようにしてもらいたい。
方法は、以下の通りだ。
1.My lastpass保管庫を開く
2.左にある設定を開く
3.Show Advanced settingsを開く
皆様のリスクが少しでも回避されることを願っている。
======
(*1)多要素認証とは、利用者の本人認証時に「複数の要素を用いて確認する」ことをいう。「ID」と「パスワード」以外に複数の認証要素を組み合わせることで、なりすましのリスク低減を図る。
(PHOTO:JeongGuHyeok)