Project Zero(他の製品のゼロデイ脆弱性を発見するためのプロジェクト)に取り組んでいるGoogleのTavis Ormandy氏と、独立研究者のMathias Karlsson氏の両者が、他人がユーザーのLastPassパスワードにアクセスできる可能性のある脆弱性を発見した。
LastPass は最も人気のあるパスワード マネージャーの 1 つで、簡単に総当たり攻撃で解読されてしまう可能性のあるパスワードの再利用を避ける方法として、ユーザーが任意の Web サイトに強力なパスワードを生成できるようにします。
パスワードマネージャーは現在、オンラインでパスワードを作成するための安全な方法として好まれており、多くのセキュリティ専門家も推奨しています。しかし、パスワードマネージャーには潜在的な大きな弱点が一つあります。それは、マスターパスワードが漏洩すると、他のすべてのパスワードも漏洩してしまうということです。
そのため、メンバーとして登録されているすべてのサイトに攻撃者がアクセスするリスクを最小限に抑えるには、強力なパスフレーズ(パスワード マネージャーのマスター パスワードとして)と 2 要素認証(ただし、SMS は使用しないことが望ましい)の両方を使用することが重要です。
さまざまな製品における複数のゼロデイ脆弱性を発見し、それについて記事を書いている Tavis Ormandy 氏は、LastPass のパスワード データベースのリモート侵害を発見したようで、すでに LastPass に警告を発しています。
独立系セキュリティ研究者のマティアス・カールソン氏は、すでに LastPass に報告し、同社が 1 日以内に修正プログラムを適用したことを考えると、おそらく別の脆弱性を発見したようだ。
カールソン氏は、LastPassのブラウザ拡張機能で発見したバグは、オートフィル機能とURL解析の欠陥に関係していると主張した。例えば、彼がリンク(http://avlidienbrunn.se/@twitter.com/@hehe.php)にアクセスしようとした場合、LastPass拡張機能はログインしようとしているサイトをavlidienbrunn.seではなくtwitter.comと誤認識する。こうしてカールソン氏はtwitter.comの認証情報を抽出でき、オートフィル機能のバグを利用すれば、同じ手口で他の人気サイトの認証情報も取得できる可能性がある。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
カールソン氏は依然として、単純なパスワードを使い回すよりもパスワードマネージャーの使用を推奨しているが、自動入力機能は過去にも問題が発生しているため、無効にすべきだとも述べた。また、多要素認証が有効になっていれば、この脆弱性は悪用されなかったはずだと指摘した。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
