LastPass

LastPassは、プライバシーを強化し、データ漏洩や不正アクセスから保護するため、ユーザー保管庫に保存されたURLの暗号化を開始すると発表した。

LastPassはまた、この新しいセキュリティ機能は、製品にゼロ知識アーキテクチャを実装するというコミットメントを強化するための重要なステップであり、外部からの脅威からデータを保護するためだけのものではないと述べている。

暗号化URLの価値

ユーザがウェブサイトにアクセスすると、LastPassはURLとユーザのパスワード保管庫のエントリを比較し、資格情報が保存されているかどうかを判断し、自動的に入力するよう提案する。

LastPassによると、このシステムが作られた2008年当時は処理能力に制限があったため、エンジニアはこれらのURLを暗号化しないままにすることを決定し、CPUへの負担を減らし、ソフトウェアのエネルギー消費フットプリントを最小限に抑えたという。

LastPassは現在、過去のハードウェア・パフォーマンスの制約がほとんど取り除かれたため、ユーザーがブラウザ・パフォーマンスの不調に気づくことなく、究極のデータ・セキュリティを享受しながら、その場でURL値の暗号化/復号化を開始することができる。

LastPassによると、これはユーザーのセキュリティを強化し、同社のゼロ・ナレッジ・アーキテクチャに準拠するためだという。

「LastPassは、「URLには、保存された認証情報に関連するアカウント(銀行、Eメール、ソーシャルメディアなど)の性質に関する詳細が含まれている可能性があります。

「お客様のアカウントに関連するURLを暗号化することで、LastPassのデータ保管庫内の他のプライベートフィールドと同様に、ゼロナレッジアーキテクチャを拡張し、お客様のプライバシーを強化するとともに、データ保管庫内に保存された特定のサービスやアカウントに関連するURLがプライベートのままであることを保証することで、リスクをさらに軽減することができます”

LastPassのゼロナレッジセキュリティは、すべての顧客データを暗号化し、LastPassやそのサービスを侵害する可能性のあるハッカーがアクセスできないようにするという前提で運用されている。

2022年、LastPassは2つの侵害に見舞われ、最終的に脅威者はソースコード顧客データ、暗号化されたパスワード保管庫を含む本番バックアップを盗むことができた。

LastPassのカリム・トゥッバCEOは当時、保管庫の復号化に必要なマスターパスワードを知っているのは顧客だけだと述べていた。しかし、もしパスワードが脆弱であれば、暗号化されたコンテンツにアクセスするためにブルートフォースされる可能性があった。

盗まれたデータには、パスワードエントリーに関連する暗号化されていないURLも含まれており、暗号通貨取引所のような金融サービスの認証情報を盗むために、どのパスワード保管庫が標的になり得るかについての貴重な洞察を提供していた。

後に、脅威行為者はこれらの脆弱なマスターパスワードの一部を解読し、暗号通貨取引所に侵入して400万ドル以上の資金を盗むために保存された認証情報を使用したと主張されている。

暗号化の展開

LastPassによると、URLの暗号化にはクライアントとバックエンドのコンポーネント機能をリファクタリングする必要があるが、この作業はすでに順調に進んでいるという。

URL暗号化の第一段階は来月(2024年6月)に実施され、すべての既存および新規アカウントのプライマリURLフィールドが自動的に暗号化される。

この段階で、保管庫内の重複したURLフィールドやレガシーなURLフィールドは削除され、個人アカウントとビジネスアカウントには変更を知らせるメールが送られる。

第二段階では、LastPassの保管庫に保存されている残りの6つのURL関連フィールドも自動的に暗号化されます。

この6つの値は以下のようなものです:

  • url_rules = パス照合、ホスト照合、ポート照合を許可するURLルール
  • Equiv_domains = 等価なドメイン
  • accts_never = これらのURLにマッチング/オートフィルしない(拒否リスト)
  • accts_never_excluded = 常にマッチ/オートフィルを行い、決して除外しない(許可リスト)
  • acs = レガシーLP SSOソリューションを利用しているビジネス顧客のみに使用されるURL
  • launchurl = レガシー LP SSO ソリューションを活用しているビジネス顧客向けの SAML SSO に使用される URL

現在のところ、ユーザは何もする必要はないが、来月のロールアウト開始時に、LastPassは影響を受けるアカウントにステップバイステップで利用方法をメールで通知する。

更新 5/23/24: 本記事では、マスターパスワードが盗まれたと誤って記載しておりましたが、パスワード保管庫の脆弱なパスワードが総当たりで盗まれたものです。