パスワード管理アプリ「LastPass」で情報流出、ライバルの「1Password」はセールを実施

パスワードをスマートフォンやタブレットで管理できるアプリ「LastPass」を運営する米LastPass社は、ハッキングされたことを発表し、サービスを利用するために必要としていたメールアドレスやパスワードリマインダ、認証ハッシュなどが流出したことを明らかにしました。

LastPass、メールアドレスなど多数の情報を流出も安全だと案内

LastPass社の発表によれば、今回のハッキングによりLastPassのアカウントとして登録されていたメールアドレスやパスワードリマインダ、ユーザーごとのソルト、認証ハッシュが流出したとのこと。

パスワードリマインダ：パスワードを忘れた時のために登録時に設定した質問に対する答え

ソルト：サーバ等に保存される情報は通常、ソルトを用いて暗号化・複合されている

認証ハッシュ：サーバ側とアプリ側のハッシュ値を突合してアプリの不正利用を防ぐためのもの

We want to notify our community that on Friday, our team discovered and blocked suspicious activity on our network. In our investigation, we have found no evidence that encrypted user vault data was taken, nor that LastPass user accounts were accessed. The investigation has shown, however, that LastPass account email addresses, password reminders, server per user salts, and authentication hashes were compromised.

引用元：LastPass Security Notice | The LastPass Blog

一方で暗号化されたユーザーデータは流出していないことから、LastPassの保管庫に登録していたウェブサイトのパスワードを変更する必要はないと案内。さらに、パスワードも流出しておらず、LastPassアカウントへの不正アクセスも発生していないことを明らかにしています。

また、LastPassではハッシュのアルゴリズムにPBKDF2-SHA256を採用し、ランダムなソルトも用いてることから、流出した認証ハッシュを元にLatPassアカウントに不正アクセスすることは非常に困難だ、としています。

LastPass社は今回の件でどれぐらいのユーザの情報が流出したのかは明らかにしていませんが、今回の件を受けてLastPassアカウントに多要素認証を利用することやマスターパスワードの変更を行うことを促しています。

1Passwordは30％オフのセールを実施

今回のLastPassのセキュリティ事故を受けてか、人気のパスワード管理アプリ「1Password」を開発するAgileBits社は1Passwordのセールを実施しています。

セールの対象となるのは、MacとWindows向けの1Passwordで、通常価格の6,000円から4,200円まで値下げされています。

価格：￥4,200（記事投稿時）カテゴリ：仕事効率化, ユーティリティアプリの評価：

LastPassでは、LastPassアカウントを使って自社のサーバ内で管理されているパスワードの保管庫にアクセスすることができますが、1Passwordでは、アップルのiCloudや米Dropbox社のDropboxにて保管庫を管理することで保管庫にはカンタンにアクセスできなくなっています。

また、1Passwordでは、クラウドサービスを利用せず自分のPC内に保管庫を保存・管理することも可能。Wi-Fiを通じて複数のデバイスで同期することもできるため、ハッキングの影響を受けにくい状態で1Passwordを利用することができます。

1PasswordやLastPassなどパスワードを一元管理するアプリは非常に便利な一方で、アプリで管理しているすべてのアカウント情報が漏れでてしまう可能性もあるなど、ハッキングには非常に弱くなっています。

個人的には、1PasswordでiCloudやDropboxに2段階認証をかけて利用する、またはクラウドサービスを利用せず、PC内に保管庫を保存して利用するべきだと思います。