パスワード管理アプリ「LastPass」で盗まれた顧客データ。わずか100ドルと2ヶ月で解読される可能性
Yusuke Sakakura
Yusuke Sakakura
ブログメディア「携帯総合研究所」を運営しています。学生時代に開設して今年が16年目。スマートフォンの気になる最新情報をいち早くお届けします。各キャリア・各メーカーの発表会に参加し、取材も行います。SEの経験を活かして料金シミュレーターも開発しています。
Android版だけで1,000万ダウンロードを超えるパスワード管理アプリ「LastPass」は、たびたびセキュリティ問題が指摘されている個人的に最もおすすめしないアプリケーションの1つです。
2015年にはハッキングによってメールアドレスやパスワードリマインダー、ユーザーごとのソルト、認証ハッシュが漏えいし、今年8月には不正アクセスによってソースコードの一部が盗まれる事件が発生。
ソースコードが盗まれた際、ユーザーの個人情報や暗号化されたパスワードなどのデータは影響を受けないと当初説明したものの結局は流出する事態に。
それでもLastPassは安全性を説明していますが、複数のセキュリティアナリストが「(説明の)半分だけが本当のことでほとんどウソ」「LastPassの長い歴史における無能さ、無関心さ、怠慢さから遠く離れることを勧める」と痛烈に批判し、ライバルの1Passwordは100ドルで流出したデータにアクセスできる可能性を指摘しています。
マスターパスワードの解読にかかる時間ははるかに短い
8月の不正アクセス事件の直後、LastPassは顧客データや暗号化されたパスワード保管庫にアクセスされたことを示す形跡は見つからなかったと説明していましたが、その後、流出した情報が使用されたことによって顧客データの特定要素にアクセスされたことを認めています。
顧客データの特定要素には、パスワード保管庫のコピー、名前、メールアドレス、請求先の住所、電話番号といった重要性の高い情報が含まれているものの、パスワード保管庫が強力に暗号化(AES-256bit)されていることから、LastPassにも保存されていない・知らないマスターパスワードがなければアクセスできないと説明しています。
首の皮一枚で繋げたマスターパスワードとは、パスワード保管庫にアクセスするために必要なパスワードで、LastPassが指南する最善の方法で設定されている場合、総当たり攻撃で推測することは極めて困難で、世の中に流通しているクラッキング技術を使ってマスターパスワードに当たりをつけるのに数百万年かかると言われているとのこと。
この説明に対して「半分だけが本当のことでほとんどウソ」と評価したWladimir Palantは、マスターパスワードを解読して顧客のログインすべてにアクセスするのは何百万年もかかるという説明は事実ではなく、2ヶ月程度で解読される可能性を指摘。
But human-chosen passwords are far from being random. Most people have trouble even remembering a truly random twelve-character password. An older survey found the average password to have 40 bits of entropy. Such passwords could be guessed in slightly more than two months on the same graphics card.
というのもマスターパスワードは、パスワード管理アプリが生成した超複雑なものではなく、人間が考えた簡易的なものです。どれほど推測しやすいかはマスターパスワードを設定したことのある人がよく理解しているでしょう。
また、1Passwordは最低12文字が必要なLastPassのマスターパスワードを総当たり攻撃で特定するには何百年もかかるが、人の手で生成されたパスワードは推測がしやすく、人間が生成しそうなパスワードから当たりをつけた場合、100億回と100ドル程度のコストで解読できる可能性があると指摘しています。
Given that the attacker is starting with the most likely human-created passwords first, that $100 worth of effort is likely to get results unless the password was machine generated.
- 引用元
- 1Password
1Passwordはマスターパスワードと秘密鍵で強力保護
マスターパスワードが解読しやすいのは、他のパスワード管理アプリにおいても同じことですが、マスターパスワードだけでパスワード保管庫にアクセスできてしまうLastPassと違って1Passwordの場合は秘密鍵も必要になります。
秘密鍵はユーザーのデバイスに保存され、攻撃対象のサーバーにも送信されない・保存されないことから、原則本人以外がパスワードの保管庫にアクセスすることはできません。1Passwordによれば「私たちのサービスは競合他社と違って一度も侵入されたことがない」とのこと。
1Passwordが攻撃対象から除外される理由については、地球上にあるすべてのPCを総動員して宇宙の年齢の何十億倍もの時間をかけても解読できない128bitの秘密鍵の存在にあると説明しています。
コメントを残す