LastPass
パスワード管理サービス
From Wikipedia, the free encyclopedia
LastPass Password ManagerとはLastPassが開発したフリーミアムのパスワード管理サービス。Google Chrome、Mozilla Firefox、Microsoft Edge、Opera、Safariのプラグインとして利用可能なだけでなく、他ブラウザ向けにLastPass Password Managerのブックマークレットもある。
 | |
| 開発元 | LastPass |
|---|---|
| 初版 | 2008年8月22日 |
| 最新版 |
4.85.1
/ 2021年12月7日 |
| 対応OS | クロスプラットフォーム |
| 対応言語 | 多言語 |
| 種別 | パスワードマネージャー |
| ライセンス | フリーミアム |
| 公式サイト |
lastpass |
ユーザーパスワード管理をクラウドに集中することで「パスワード疲れ」問題を解決しようとしている。
2015年10月にLastPassはLogMeIn (NASDAQ: LOGM)に買収された[1]。
2021年10月14日にLogMeInはLastPassを独立させると発表した。[2]
概要
LastPass Password Managerにあるパスワードはマスターパスワードで保護、ローカルで暗号化され、他のブラウザと同期される。また、ユーザー名とパスワードの入力フォームに対応するそれぞれのユーザー名とパスワードの自動入力や、パスワードの生成、サイトの共有やログ取りも行える。
2010年12月2日、LastPassはブックマークシンクロナイザーのXmarksを買収した[3]。LastPassのパスワード管理技術はインターネットセキュリティ企業であるWebrootの最も新しいセキュリティスイートにある「アイデンティティとプライバシー」機能に統合されているが、ライセンス契約の全文は明らかにされなかった[4]。
2021年2月17日、LastPassは2021年3月16日から無料版についてデバイスタイプを1つに限定すると発表した。無料版ではユーザはPCかモバイルいずれかを選択して利用することになる。また、2021年5月17日からは無料版でのメールサポートを終了する。[5]
機能
- 1つのマスターパスワード
- ブラウザ間同期
- 安全なパスワード生成
- パスワード暗号化
- フォーム自動入力
- パスワードのインポート、エクスポート
- ポータブルアクセス
- マルチファクター認証
- 指紋照合
- クロスプラットフォームアベイラビリティ
- モバイルアクセスが可能[6]
ソースコード
クローズドコードだが、非バイナリモードで動作することのできる多くのエクステンションのソースが利用可能である。それでもLastPassは全権利を保持している。
LastPass Password Managerの開発者の1人であるサミールはソフトウェアの理論的整合性はオープンソース無しで検証できることを主張し、開発者はLastPass Password Managerのユーザインタフェースを将来オープンソースして開くことができると言及した[7]。
評価
2009年3月、PC MagazineはLastPass Password Managerをパスワード管理における「エディターズ・チョイス」に選出した[8]。 またDownload Squad[9]、Lifehacker[10]、Makeuseof[11]にも取り上げられている。
LastPass Password Managerのセキュリティモデルはスティーブ・ギブソンが自身のSecurity Nowポッドキャストエピソード256で取り上げ大いに称賛した[12]。
セキュリティ問題
2011年5月3日火曜日、LastPassは自身の受信ネットワークトラフィックに異常を発見、その後送信ネットワークトラフィックにも同じような異常を発見した[13]。管理者は従来のセキュリティ欠陥(例として非管理者が管理者権限を取得した証拠を残していないデータベースログ)を示す特徴は見つからなかったものの、異常の根本的な原因を特定することはできなかった。さらに、異常の重大さを考えると電子メードアドレス、サーバーのソルト、ソルトされたパスワードのハッシュがLastPassのサーバーから流出した可能性が取り沙汰され、対処として異常の発生したサーバーを撤去し再構築した。2011年5月4日、全ユーザーにマスターパスワードの変更を要請した。しかし、結果としてユーザートラフィックはログインサーバーを圧倒してしまい、一時的に管理者は追加の通知が有るまでマスターパスワードの変更作業を中止するように求めたが、パスワード流出の可能性は明確に小さくなったとかんがえられるようになっていった。LastPassはまた顧客情報流出の直接的な証拠は無いが用心に越したことはないと述べた[14]。これらの予防措置により、以降顧客情報損失やパスワード流出は検証報告されていない。コメント6にて、ジョー・シーグリストは「確かに賢明」と言った上で第三者監査に委託。しかし、監査による結果はこれまでに発表されていない。
XSSの脆弱性
2011年2月、セキュリティ研究者のマイク・カードウェルによってクロスサイトスクリプティング(XSS)のセキュリティホールが発見され、責任をもって報告、数時間内に塞いだ[15]。しかし、低リスクと見なされるほど軽いもので、ログ検索では搾取的利用(カードウェル以外による)の証拠は出なかったが、セキュリティホール塞ぎに加えて、LastPassはさらなるセキュリティ改善のための追加手段としてHTTP Strict Transport Security (HSTS)(カードウェルの提言による)、X-Frame-Optionsの、多層防御を提供するためのコンテントセキュリティポリシーのようなシステムが実装された[15][16]。
2022年8月のハッキング被害
- 現地時間25日、不正アクセス被害を表明した[17]。当時は一部ソースコードと独自技術情報のみが持ち出され、顧客データや暗号化されたパスワード保管庫にアクセスされた形跡はなかったとしていたが、その後の追跡調査により当初想定より深刻であること(顧客データも盗まれていた)が判明した[18][19][20][21]。なお本件に関して謝罪表明がなされたが形式的だとして批判されている[22]。
- その後の追跡調査により、8月のハッキング情報を元手に同年11月に再度ハッキングされ、GoToやLastPassの顧客データの暗号化済みバックアップが保存されたサードパーティ製クラウドストレージに攻撃者が侵入し、顧客データの「特定の要素」へのアクセスに成功したことが判明し、リモートコンピューター管理ソフトのen:LogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと親会社であるen:GoToが発表した[23]。
- クラウドストレージへの侵入が判明した時点では顧客データへの影響はまだわかっておらず、GoToはサイバーセキュリティ企業のen:Mandiantの助けを借りて調査を行っていた[23]。
- そしてさらなる調査の結果、LogMeIn CentralやLogMeIn Pro、オンライン会議ソフトのjoin.me、P2P型VPNツールのHamachi、リモート操作ツールのRemotelyAnywhereに関連する顧客データのバックアップも盗み出されていたことがわかった。
- クラウドストレージへの侵入が判明した時点では顧客データへの影響はまだわかっておらず、GoToはサイバーセキュリティ企業のen:Mandiantの助けを借りて調査を行っていた[23]。
- '23年3月1日、一連の情報流出が「従業員のPCが攻撃され、キーロガーを仕込まれた」ことに起因していることを発表した[24]。
- その後の追跡調査により、8月のハッキング情報を元手に同年11月に再度ハッキングされ、GoToやLastPassの顧客データの暗号化済みバックアップが保存されたサードパーティ製クラウドストレージに攻撃者が侵入し、顧客データの「特定の要素」へのアクセスに成功したことが判明し、リモートコンピューター管理ソフトのen:LogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと親会社であるen:GoToが発表した[23]。
類似サービス
- Keychain
- KeePass
- Mitto
- Offer Assistant
- Pageonce
- Password manager
- Password Safe
- RoboForm
- Password Dragon
- 1Password
- Dashliane
- iCloudキーチェーン
- Bitwarden