LastPass Password ManagerとはLastPassが開発したフリーミアムのパスワード管理サービス。Google Chrome、Mozilla Firefox、Microsoft Edge、Opera、Safariのプラグインとして利用可能なだけでなく、他ブラウザ向けにLastPass Password Managerのブックマークレットもある。
ユーザーパスワード管理をクラウドに集中することで「パスワード疲れ」問題を解決しようとしている。
2015年10月にLastPassはLogMeIn (NASDAQ: LOGM)に買収された[1]。
2021年10月14日にLogMeInはLastPassを独立させると発表した。[2]
概要
LastPass Password Managerにあるパスワードはマスターパスワードで保護、ローカルで暗号化され、他のブラウザと同期される。また、ユーザー名とパスワードの入力フォームに対応するそれぞれのユーザー名とパスワードの自動入力や、パスワードの生成、サイトの共有やログ取りも行える。
2010年12月2日、LastPassはブックマークシンクロナイザーのXmarksを買収した[3]。LastPassのパスワード管理技術はインターネットセキュリティ企業であるWebrootの最も新しいセキュリティスイートにある「アイデンティティとプライバシー」機能に統合されているが、ライセンス契約の全文は明らかにされなかった[4]。
2021年2月17日、LastPassは2021年3月16日から無料版についてデバイスタイプを1つに限定すると発表した。無料版ではユーザはPCかモバイルいずれかを選択して利用することになる。また、2021年5月17日からは無料版でのメールサポートを終了する。[5]
機能
- 1つのマスターパスワード
- ブラウザ間同期
- 安全なパスワード生成
- パスワード暗号化
- フォーム自動入力
- パスワードのインポート、エクスポート
- ポータブルアクセス
- マルチファクター認証
- 指紋照合
- クロスプラットフォームアベイラビリティ
- モバイルアクセスが可能[6]
ソースコード
クローズドコードだが、非バイナリモードで動作することのできる多くのエクステンションのソースが利用可能である。それでもLastPassは全権利を保持している。
LastPass Password Managerの開発者の1人であるサミールはソフトウェアの理論的整合性はオープンソース無しで検証できることを主張し、開発者はLastPass Password Managerのユーザインタフェースを将来オープンソースして開くことができると言及した[7]。
評価
2009年3月、PC MagazineはLastPass Password Managerをパスワード管理における「エディターズ・チョイス」に選出した[8]。 またDownload Squad[9]、Lifehacker[10]、Makeuseof[11]にも取り上げられている。
LastPass Password Managerのセキュリティモデルはスティーブ・ギブソン(英語版)が自身のSecurity Nowポッドキャストエピソード256で取り上げ大いに称賛した[12]。
セキュリティ問題
2011年5月3日火曜日、LastPassは自身の受信ネットワークトラフィックに異常を発見、その後送信ネットワークトラフィックにも同じような異常を発見した[13]。管理者は従来のセキュリティ欠陥(例として非管理者が管理者権限を取得した証拠を残していないデータベースログ)を示す特徴は見つからなかったものの、異常の根本的な原因を特定することはできなかった。さらに、異常の重大さを考えると電子メードアドレス、サーバーのソルト、ソルトされたパスワードのハッシュがLastPassのサーバーから流出した可能性が取り沙汰され、対処として異常の発生したサーバーを撤去し再構築した。2011年5月4日、全ユーザーにマスターパスワードの変更を要請した。しかし、結果としてユーザートラフィックはログインサーバーを圧倒してしまい、一時的に管理者は追加の通知が有るまでマスターパスワードの変更作業を中止するように求めたが、パスワード流出の可能性は明確に小さくなったとかんがえられるようになっていった。LastPassはまた顧客情報流出の直接的な証拠は無いが用心に越したことはないと述べた[14]。これらの予防措置により、以降顧客情報損失やパスワード流出は検証報告されていない。コメント6にて、ジョー・シーグリストは「確かに賢明」と言った上で第三者監査に委託。しかし、監査による結果はこれまでに発表されていない。
XSSの脆弱性
2011年2月、セキュリティ研究者のマイク・カードウェルによってクロスサイトスクリプティング(XSS)のセキュリティホールが発見され、責任をもって報告、数時間内に塞いだ[15]。しかし、低リスクと見なされるほど軽いもので、ログ検索では搾取的利用(カードウェル以外による)の証拠は出なかったが、セキュリティホール塞ぎに加えて、LastPassはさらなるセキュリティ改善のための追加手段としてHTTP Strict Transport Security (HSTS)(カードウェルの提言による)、X-Frame-Optionsの、多層防御を提供するためのコンテントセキュリティポリシー(英語版)のようなシステムが実装された[15][16]。
2022年8月のハッキング被害
- 現地時間25日、不正アクセス被害を表明した[17]。当時は一部ソースコードと独自技術情報のみが持ち出され、顧客データや暗号化されたパスワード保管庫にアクセスされた形跡はなかったとしていたが、その後の追跡調査により当初想定より深刻であること(顧客データも盗まれていた)が判明した[18][19][20][21]。なお本件に関して謝罪表明がなされたが形式的だとして批判されている[22]。
- その後の追跡調査により、8月のハッキング情報を元手に同年11月に再度ハッキングされ、GoToやLastPassの顧客データの暗号化済みバックアップが保存されたサードパーティ製クラウドストレージに攻撃者が侵入し、顧客データの「特定の要素」へのアクセスに成功したことが判明し、リモートコンピューター管理ソフトのen:LogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと親会社であるen:GoToが発表した[23]。
- クラウドストレージへの侵入が判明した時点では顧客データへの影響はまだわかっておらず、GoToはサイバーセキュリティ企業のen:Mandiantの助けを借りて調査を行っていた[23]。
- そしてさらなる調査の結果、LogMeIn CentralやLogMeIn Pro、オンライン会議ソフトのjoin.me、P2P型VPNツールのHamachi、リモート操作ツールのRemotelyAnywhereに関連する顧客データのバックアップも盗み出されていたことがわかった。
- 製品によって異なるが、盗み出されたデータの中にはアカウントのユーザー名、ソルト化・ハッシュ化されたパスワード、電子メール・電話番号・請求先の住所・クレジットカード番号の下4桁などの個人情報、多要素認証設定の一部、製品設定とライセンス情報が含まれている場合があるとのこと[23]。
- GoToは、攻撃者が本番システムにアクセスしたという証拠はまだないと述べ、TLS 1.2による暗号化とP2P技術が有効であるため、今回の攻撃がクライアントに影響を与える可能性はないと述べている[23]。
- '23年3月1日、一連の情報流出が「従業員のPCが攻撃され、キーロガーを仕込まれた」ことに起因していることを発表した[24]。
- LastPassはAmazon S3を利用しており、4人の従業員にAmazon S3のアクセスキーを割り当てていたとのこと。しかし、4人のうち1人の自宅用PCがハッキングされてキーロガーを仕込まれた結果、アクセスキーが盗み出された[24]。
- 攻撃者は、盗んだアクセスキーを用いてバックアップデータや社内共有データなどを奪取したが、この際攻撃者は管理者のアクセスキーを用いて各種データにアクセスしていたため「異常な動作」が検出されず、問題発見の遅延につながったとLastPassは述べている[24]。
- LastPassはPCをハッキングされた従業員およびAmazon S3のセキュリティ強化を実施したとのこと。また、LastPassのユーザーに対してもマスターパスワードの変更や2要素認証の有効化などのセキュリティ強化を呼びかけている[24]。
類似サービス
脚注
- ^ “LogMeInがLastPassを買収 | スラド セキュリティ”. security.srad.jp. 2020年8月17日閲覧。
- ^ “パスワード管理のLastPassが再び独立運営に 来年機能追加も”. 2021年12月15日時点のオリジナルよりアーカイブ。2021年12月16日閲覧。
- ^ LastPass Acquires Xmarks!, LastPass blog, (2010-12-02), http://blog.lastpass.com/2010/12/lastpass-acquires-xmarks.html
- ^ Automation, partnerships drive Webroot revamp cnet.com 2010-07-26.
- ^ パスワード管理「LastPass」の無料版、3月にスマホかデスクトップかの選択必須にITmedia NEWS
- ^ https://lastpass.com/mobile/
- ^ Sameer's commentary on making lastpass open source
- ^ LastPass 1.50 Review & Rating | PCMag.com
- ^ Is Lastpass as good as they make it sound?
- ^ LastPass Adds Form Filler, Syncs Form Profiles and Passwords
- ^ Securely Synchronize Your Browser Passwords With LastPass
- ^ Security Now 256: LastPass Securityまたはこのビデオの0:52:44でLastPass Password Managerのレビューが流れている
- ^ LastPass Security Notification
- ^ LastPass Security Notification(Archive)
- ^ a b https://grepular.com/LastPass_Vulnerability_Exposes_Account_Details (Archived by WebCite® at https://webcitation.org/68ciU4CSm)
- ^ http://blog.lastpass.com/2011/02/cross-site-scripting-vulnerability.html (Archived by WebCite® at https://webcitation.org/68ciTQ93c)
- ^ 株式会社インプレス (2022年8月26日). “パスワード管理ツール「LastPass」がハッキングの被害、ソースコードと独自技術が漏洩/パスワードの漏洩はなし”. 窓の杜. 2023年1月18日閲覧。
- ^ “パスワード管理アプリ「LastPass」から盗み出したソースコードを使ってハッカーが顧客データにアクセスしたことが判明”. GIGAZINE. 2023年1月18日閲覧。
- ^ 株式会社インプレス (2022年12月23日). “2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ~当初想定より深刻/マスターパスワード1つでギリギリ。大事な暗号化データは辛うじて保護”. 窓の杜. 2023年1月18日閲覧。
- ^ “パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明”. GIGAZINE. 2023年1月18日閲覧。
- ^ “データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演”. GIGAZINE. 2023年1月18日閲覧。
- ^ “パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵”. GIGAZINE. 2023年1月18日閲覧。
- ^ a b c d “LastPass親会社が不正アクセスで顧客データの一部を盗み出されていたことを認める”. GIGAZINE. 2023年5月9日閲覧。
- ^ a b c d “パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因”. GIGAZINE. 2023年5月9日閲覧。
外部リンク