Webベースのパスワード管理サービスであるLastPassが2015年6月12日(金)にハッキングされた。6月15日,同社が発表した。それによると, 今回の侵入で“... LastPassアカウントのEメールアドレス,パスワードリマインダ,ユーザ毎のサーバのソルト値,認証ハッシュが流出”した。同社はこの攻撃を“疑わしい活動”と呼び,“当社の暗号化対策は,ユーザの大半を保護するのに十分なものであると確信している”,と述べている。
LastPassによると,同社では,認証ハッシュを保護するために“ランダムなソルト値,サーバ側での100,000回のPBKDF2-SHA256,さらにクライアント側でも処理を行う[強化された]認証ハッシュ”など,いくつかの技術を採用している。これらの手段は,ハッシュを保持するものによる高速な攻撃の防止を意図したものだ。現在,これらのユーザ認証ハッシュは野放し状態となっているため,同社では悪用を防止する措置を取っている。新しいIPあるいはデバイスからログインするユーザには,Eメールによるアカウント確認が求められる(マルチファクタ認証が有効な場合を除く)。また,すべてのユーザを対象に,マスタパスワード変更を要請するメールを送信している。
2015年6月16日の日付のある更新記事で同社は,今回の問題に対するユーザからの質問への回答を追加した。同社の述べるところによると,暗号化されないパスワードにアクセスされることはできない - パスワードはLastPassサーバへ送信される前にローカル上でソルト値を使ってハッシュ化された上,前述のようにサーバ上でもさらに処理されているからだ。LastPassによると,各ユーザのマスタパスワードには,ユニークな“ユーザ毎の”ソルト値がある。従ってユーザへの攻撃は,個別に行わなくてはならない。また,ユーザ毎にデータ保管庫に格納されたデータは流出していない,と同社は述べている。
ユーザの反応からは,今回のハックに対する神経質な感情が明確に見られる。“Disturbed”というユーザは,
“発表内容は誠実なものですが,私が料金を支払った「パスワードを安全に保管する」ということに対して,あなた方には十分な能力がありませんでした。信頼関係が損なわれた以上,今後も私のデータの保管を認めることができるか,確信は持てません。ユーザデータが漏えいしたとは考えていない,という点は理解しましたが,先週の木曜日の時点では,あなた方のデータが誰かに破られることも考えられていなかったはずです ... あなた方が正しい対応をして,それを認めている点には期待できますが,一方で,私の仕事の将来と生活をそれに賭けられるのでしょうか? 今はよく分かりません。”
Peter Brich氏は,
“...LastPassは非常にプロフェッショナルで,何が起こったのか,どのように対処したのか,私たちにどのような影響があるのかについて,率直に説明してくれています。このような素晴らしいサービスに,今後もプレミアムサブスクリプションを続けたいと思います!”
Rob Allen氏は,観点を維持するべきだと言う。
“不満があるならば,サービスの利用を止めた方がよいでしょう ... 私たちのインターネットは,国家レベルの支援を受けた攻撃に晒されています。すべての行動,デジタルデバイス内のすべてのエントリ,接続するインターネットのすべては脆弱です。その中で可能な最善の策が,今回起こったことなのです ... クレーマたちのやっていることは,良心的な企業に対して,問題の発表を止めさせることになります。誰にもメリットはありません。何が起きたかを発表することによって,他の企業は,周辺防御でそれに応えることができるようになります ... インターネットに接続すれば,誰も攻撃から安全ではありません。報告の透明性によってのみ,適切なセキュリティは達成できるのです。”