Googleの研究者が、パスワードマネージャー「LastPass」に悪意のある者がユーザーのパスワードを盗み出したり、コードを実行したりできる深刻な脆弱性があることを明らかにしました。LastPassは脆弱性の修正に対応しているところで、その間はユーザーに対して「プラグインを使わない」などの対策をとるよう警告しています。

Security Update for the LastPass Extension | The LastPass Blog

https://blog.lastpass.com/2017/03/security-update-for-the-lastpass-extension.html/



LastPass warns users to exercise caution while it fixes 'major' vulnerability | Technology | The Guardian

https://www.theguardian.com/technology/2017/mar/30/lastpass-warns-users-to-exercise-caution-while-it-fixes-major-vulnerability



他社のサービスや製品に存在するセキュリティ上の脆弱性を見つけ出すGoogleの「Project Zero」の研究者であるTavis Ormandy氏は、LastPassに深刻な脆弱性があるとツイートしました。Ormandy氏はこの脆弱性を悪用する方法は公表しておらず、LastPassに対してだけに脆弱性の詳細を伝え、問題の修正を求めています。





これを受けたLastPassは公式ブログで問題に対処していることを発表。ブログでは「私たちは積極的に問題に対処しています。この脆弱性を通じた攻撃は独特で高度に洗練されており、悪意のある攻撃を促す可能性があるため、脆弱性の詳細については伝えることができません」としています。その代わりに、LastPassは脆弱性が修正されるまでの間、ユーザーに対して以下の3つの対策をとるよう求めています。

LastPass Vaultからサービスにアクセスすること(プラグインを使わないこと)

・二段階認証を有効にすること

・フィッシング攻撃に注意すること



LastPassに限らず、たびたびパスワードマネージャーの脆弱性が指摘されていますが、それでも多くのセキュリティ専門家がパスワードマネージャーの使用を推奨しています。これは多くのユーザーにとって、個別のパスワードマネージャーを狙った攻撃よりも、「パスワードの使い回し」の方が危険性が高いため。一方で、一部のセキュリティ専門家は、パスワードマネージャーを使用することはハッキングの危険があるだけでなく、マスターパスワードを忘れるとすべてのパスワードにアクセスできなくなるというリスクがある点について、懸念を抱いています。