6月15日、クラウド型パスワード一元管理ツールのLastpassが不正アクセス(俗に言うハッキング)を受け、アカウントのログインメールアドレスや認証用ハッシュが盗まれました。
大変有名なツールで使用者も多い「Lastpass」。ユーザーの私達が被害拡大を防止するため今できることは何か、最低限の対策をご紹介します。
まずはマスターパスワードを変更
今回の不正アクセス被害で漏洩した最大の情報は認証に使われるハッシュ値。Lastpassにおいては簡単には総当たり等でこのハッシュ値からマスターパスワードを割り出せないように対策が行われていますが、安全のためマスターパスワードの変更は強く推奨致します。
変更はLastpassの保管庫ページにアクセスし、左にある「アカウント設定」から「マスターパスワードの変更」から行えます。
在住の国以外からのアクセスを制限
今回の不正アクセスの攻撃元は明らかにされておりませんが、国別のアクセス制限を行っておくと自分のアカウントが不正に利用される可能性を抑制できます。
設定はマスターパスワードの変更と同じくLastpassの保管庫ページから「アカウント設定」に進み、「Show Advanced Settings」をクリック、「選択した国からのログインのみ許可」にチェックを入れ、自分が利用するアクセス元の国のみをチェックします。その後「更新」をクリックし設定を更新してください。
セキュリティをより強固なものにするなら二段階認証を設定
以上で今回の不正アクセスに対抗する基本的な対策は行えましたが、よりセキュリティを強固なものにしたいとお考えならば二段階認証の利用をおすすめします。
先程と同じようにアカウント設定のページから「Multifactor Options」のタブを選択すると、二段階認証のための多彩なオプションが用意されていますが、ここでは最も手軽に設定できると思われるGoogleの認証プロセスの設定方法を紹介します。
「Multifactor Options」画面にある「Google Authenticator」の横の鉛筆アイコンをクリック。「有効」の欄を「はい」に変更すると二段階認証プロセスが有効になります。
Googleによる認証の手段については複数の方法が用意されておりますので、そちらの設定に関しましてはGoogleの二段階認証のページをご覧ください。
それでも私はLastpassを使い続ける
Lastpassの不正アクセスを受け、3つの対策をご紹介しましたが如何でしたでしょうか。
パスワード等はどのような方法で管理するにしろリスクはあるものですので、常に細心の注意を払わなければなりません。
今回は残念ながらこのような不正アクセスを受けてしまう結果となりましたが、保管庫の中のデータは流出していない模様ですし、Lastpass側も日頃からセキュリティについて真剣に考える姿勢が見てとれますので、私は今後もLastpassを使い続けようと思います。勿論、このようなことは無いに越したことはありませんが。
この記事をきっかけに今後被害を受ける方が1人でも減れば幸いです。
