LastPassのセキュリティ問題：「パスワードは100ドルで解読可能」

LastPassのセキュリティ侵害をめぐる論争は依然として続いています。独立系セキュリティアナリストがLastPassの声明を「半分しか真実ではなく、全くの嘘」と評したことを受け、ライバルのパスワード管理会社1Passwordもコメントを発表しました…

LastPassは、ユーザーのマスターパスワードを解読するには数百万年かかると主張しましたが、1Passwordは、ほとんどのユーザーには当てはまらないと述べています。実際、典型的なLastPassユーザーのマスターパスワードを解読するには、わずか100ドルで済むとのことです。

背景

LastPassのセキュリティ侵害は8月に発覚しました。当時、同社は顧客データへのアクセスはなかったと発表していました。

2週間前、LastPass開発環境の一部で異常なアクティビティが検出されました。直ちに調査を開始した結果、このインシデントが顧客データや暗号化されたパスワードボルトへのアクセスに関係していたことを示す証拠は確認されていません。

その代わりに、LastPassは、攻撃者がソースコードの一部と「LastPass独自の技術情報」を入手したと述べた。

しかしその後、攻撃者がこの情報を利用して LastPass システムへのより広範なアクセス権を取得し、顧客データにアクセスできたことが判明しました。

2022 年 8 月のインシデントで取得された情報を使用して、権限のない第三者が当社の顧客情報の特定の要素にアクセスできたことが判明しました。

LastPass は先週、そのデータの範囲を明らかにしたが、それは予想されていたよりもはるかにひどいものだった。

同社は、顧客のパスワード保管庫のコピーのほか、名前、電子メール、請求先住所、電話番号なども取得されたと発表している。

同社は、パスワード保管庫では強力な暗号化が使用されており、顧客のマスターパスワードがなければアクセスできないことを強調した。

これらの暗号化されたフィールドは256ビットAES暗号化によって保護されており、ゼロナレッジアーキテクチャを使用して各ユーザーのマスターパスワードから生成された固有の暗号化キーでのみ復号可能です。マスターパスワードはLastPassには一切開示されず、LastPassによって保存または維持されることもありません。

しかし、独立系セキュリティアナリストのウラジミール・パラント氏は今週、ラストパスの主張のうち少なくとも14件に異議を唱え、「漏れや半端な真実、完全な嘘だらけだ」と述べた。

特に、マスターパスワードを解読して顧客のログイン情報すべてにアクセスするには「数百万年」かかるというのは事実ではないと述べた。標的型攻撃に必要な実際の時間は2か月程度だと推定した。

LastPassのセキュリティが1Passwordに攻撃される

1Password の主席セキュリティ設計者 Jeffrey Goldberg 氏はブログ投稿で、これでも難易度を過大評価していると述べ、典型的な LastPass 顧客のマスターパスワードを解読する場合、コストはわずか 100 ドル程度で済むと述べている。

ゴールドバーグ氏はパラント氏と同じ論法を用いている。つまり、ほとんどのユーザーの実際のマスターパスワードはランダムではなく、パスワードクラッカーもこれを知っている、というわけだ。

クラッキングシステムは、マシンが作成したものなどを試すずっと前に Fido8my2Sox!、やなどを試します。2b||!2b.titqzm-@MvY7*7eL

人間が作成したパスワードは、様々な複雑さの要件を満たしていても、解読可能です。つまり、あなた（あるいは他の人間）が12文字のパスワードを作成した場合、12文字のパスワードの候補が2の⁷² 乗通りあるかどうかは問題ではありません。重要なのは、あなたのパスワードが、攻撃者が最初に試す数十億通りのパスワードの1つに含まれるかどうかです。

彼によれば、ほとんどのパスワードは100億回未満の推測で解読可能であり、費用は約100ドルだという。

1Passwordのマスターパスワードはブルートフォース攻撃では解読できない

ゴールドバーグ氏によると、LastPassでは、ユーザーのマスターパスワードだけですべてのログイン情報にアクセスできるという。しかし、1Passwordではそうではない。1Passwordは、ユーザーが選択したマスターパスワードとマシンから生成された秘密鍵を組み合わせている。ユーザーのパスワード保管庫にアクセスするには、両方が必要となるのだ。

秘密鍵はユーザー自身のデバイス上で作成され、デバイス外に持ち出されることはありません。ユーザーはそれが何なのか知りません。1Passwordもそれが何なのか知りません。この仕組みを説明した以前のブログ記事では、脆弱なマスターパスワードを使用する架空のユーザー、Mollyの例を挙げています。

モリーの128ビットの秘密鍵は、彼女のマシン上で、彼女の比較的弱いパスワードと結合されます。この秘密鍵は当社および当社のサーバーには公開されません。モリーがアカウントにサインインする際に、モリーの1Passwordクライアントから当社のサーバーに秘密鍵が送信されることはありません。モリーの秘密鍵が保管されないだけでなく、取得する機会すらありません。

これはApple Payの仕組みと概念的に似ています。iPhoneまたはApple Watchは、デバイス上で本人確認が完了したことを決済端末に伝えます。

The Vergeは、LastPassがセキュリティ要件がはるかに低かった初期の頃から、長年のユーザーに対してパスワードの更新を要求していないと指摘しています。さらに、LastPassに保存されるプレーンテキスト情報自体が、ユーザーがアクセスしたウェブサイトのURLを含め、ユーザーにとって危険となる可能性があります。

もしLastPassを使って、ニッチなポルノサイトのアカウント情報を保存していたらどうでしょう？公共料金のアカウント情報から、あなたの住んでいる地域が特定されてしまう可能性はありますか？ゲイ向けの出会い系アプリを使っているという情報が、あなたの自由や命を危険にさらす可能性はありますか？

9to5Macの見解

LastPassのセキュリティ侵害は、当初明らかにされたよりもはるかに深刻だっただけでなく、同社が個人的には容認できないと考える数々の行為を行っていることは明らかです。これには、大量の個人データをプレーンテキストで保存していることや、セキュリティに関して誤解を招くような発言をしていることなどが含まれます。例えば、PBKDF2の10万回の反復処理は「通常よりも強力」であると主張していますが、実際には安全とみなせる最低基準です。

1Passwordは明らかにライバルを攻撃することに金銭的な利益を見出しています。しかし、同社の主張は理にかなっています。特に、スタンドアロンのマスターパスワードとシークレットキー方式を比較した場合、その主張は説得力があります。これは、iOSがユーザーのパスコードやFace IDのデータを実際には把握していないのと似ています。iOSはSecure Enclaveから「はい」か「いいえ」の返答を受け取るだけです。

現時点でわかっていることを踏まえると、LastPassをパスワードマネージャーとして考えることはしません。（ちなみに、私は1Passwordも使っていますが、他のユーザーと同じように定価を支払っています。）

幸いなことに、パスワードという概念はついに廃れ、パスキーに置き換えられつつあります。これは、以前説明したように、デバイス上での認証に完全に依存しています。