しばらく前にこんなことを書いた。

そして今日。

どう対応するべきか、ちょっと考えてみる。LastPassを勧めた記事を書いた手前、このnoteは本来有料マガジン用だが全文無料にする。ただし俺はこの手の分野は完全に素人なので、どこまで適切なことを書けるか分からないが。

実際のところ何が起きたのか。GIGAZINEは少々大げさに書くところがあるので、他ではどのように書かれているか調べる。

平文で盗まれたのは以下である。ユーザーの基本情報が抜かれた形だ。

• LastPassでのユーザー名

• 請求先住所

• メールアドレス

• 電話番号

• IPアドレス

暗号化された状態で盗まれたものは、LastPassに覚えさせたもの。

• ユーザー名

• パスワード

• セキュアノート

• その他覚えさせたもの

盗まれていないもの。

• LastPassのマスターパスワード

LastPassは保存されたパスワードなどをAES 256 暗号化で保護している。マスターパスワード無しで解読しようとした場合、最高の条件でも10~18年かかるらしい。これは一つの暗号化に対してなのだから、マスターパスワード無しで破られることはまず無いと言っていいだろう。

マスターパスワードをブルートフォース攻撃で解読するならどうか。今回は保管庫をまるごとコピーされているので、攻撃者は何度でも繰り返し挑戦することができる。この場合、マスターパスワードがどれくらい強力に作ってあるかで話は変わってくる。

これによれば、数字のみなら即死と言っていい。いろいろ組み合わせていても8文字以下ならダメそうだ。対して12文字以上で小文字と大文字の組み合わせならば、まず破られることはない。LastPassはマスターパスワードについて、以下を推奨している。

• 最低12文字で長いほど良い

• 大文字、小文字、数字、特殊文字を使用する

• 発音しやすく、覚えやすい、しかし簡単に推測されない

• 自分だけのもの

• 個人情報は絶対に使用しない

これからを守っていれば、まず突破されることはないのではないか。

しかし今回はLastPassユーザーのメールアドレスまで流出している。そのため、フィッシング詐欺の形でマスターパスワードを盗まれるリスクがある。マスターパスワードがあれば簡単に保管庫は開くのだから、こうなってしまえばもう終わりだ。

故にメールのリンクを踏んで開いたページでLastPassのマスターパスワードを入力するようなことは絶対にしてはならない。これは以前からそうあるべきだが、今はなおさらである。

一方でマスターパスワードを貧弱なものに設定していた人は、すぐに上記のような強力なパスワードに変更するべきである。マスターパスワードを他のサービスでも使いまわしていた人も同様だ。

以上を踏まえた上で、さらに安全性を求めるならば、重要な各サービスのパスワードを変更しておこう。そしてサービスによっては二要素認証を設定しておく。

以下参考になりそうなツイートを貼っておく。

1Passwordに移行した (2022/12/28 追記)