LastPass

LastPass Password Manager
開発元	LastPass
初版	2008年8月22日
最新版	4.85.1 / 2021年12月7日 (2年前)
対応OS	クロスプラットフォーム
対応言語	多言語
種別	パスワードマネージャー
ライセンス	フリーミアム
公式サイト	lastpass.com
	テンプレートを表示

LastPass Password ManagerとはLastPassが開発したフリーミアムのパスワード管理サービス。Google Chrome、Mozilla Firefox、Microsoft Edge、Opera、Safariのプラグインとして利用可能なだけでなく、他ブラウザ向けにLastPass Password Managerのブックマークレットもある。

ユーザーパスワード管理をクラウドに集中することで「パスワード疲れ」問題を解決しようとしている。

2015年10月にLastPassはLogMeIn (NASDAQ: LOGM)に買収された^[1]。

2021年10月14日にLogMeInはLastPassを独立させると発表した。^[2]

概要

LastPass Password Managerにあるパスワードはマスターパスワードで保護、ローカルで暗号化され、他のブラウザと同期される。また、ユーザー名とパスワードの入力フォームに対応するそれぞれのユーザー名とパスワードの自動入力や、パスワードの生成、サイトの共有やログ取りも行える。

2010年12月2日、LastPassはブックマークシンクロナイザーのXmarksを買収した^[3]。LastPassのパスワード管理技術はインターネットセキュリティ企業であるWebrootの最も新しいセキュリティスイートにある「アイデンティティとプライバシー」機能に統合されているが、ライセンス契約の全文は明らかにされなかった^[4]。

2021年2月17日、LastPassは2021年3月16日から無料版についてデバイスタイプを1つに限定すると発表した。無料版ではユーザはPCかモバイルいずれかを選択して利用することになる。また、2021年5月17日からは無料版でのメールサポートを終了する。^[5]

機能

1つのマスターパスワード
ブラウザ間同期
安全なパスワード生成
パスワード暗号化
フォーム自動入力
パスワードのインポート、エクスポート
ポータブルアクセス
マルチファクター認証
指紋照合
クロスプラットフォームアベイラビリティ
モバイルアクセスが可能^[6]

ソースコード

クローズドコードだが、非バイナリモードで動作することのできる多くのエクステンションのソースが利用可能である。それでもLastPassは全権利を保持している。

LastPass Password Managerの開発者の1人であるサミールはソフトウェアの理論的整合性はオープンソース無しで検証できることを主張し、開発者はLastPass Password Managerのユーザインタフェースを将来オープンソースして開くことができると言及した^[7]。

評価

2009年3月、PC MagazineはLastPass Password Managerをパスワード管理における「エディターズ・チョイス」に選出した^[8]。またDownload Squad^[9]、Lifehacker^[10]、Makeuseof^[11]にも取り上げられている。

LastPass Password Managerのセキュリティモデルはスティーブ・ギブソン（英語版）が自身のSecurity Nowポッドキャストエピソード256で取り上げ大いに称賛した^[12]。

セキュリティ問題

2011年5月3日火曜日、LastPassは自身の受信ネットワークトラフィックに異常を発見、その後送信ネットワークトラフィックにも同じような異常を発見した^[13]。管理者は従来のセキュリティ欠陥（例として非管理者が管理者権限を取得した証拠を残していないデータベースログ）を示す特徴は見つからなかったものの、異常の根本的な原因を特定することはできなかった。さらに、異常の重大さを考えると電子メードアドレス、サーバーのソルト、ソルトされたパスワードのハッシュがLastPassのサーバーから流出した可能性が取り沙汰され、対処として異常の発生したサーバーを撤去し再構築した。2011年5月4日、全ユーザーにマスターパスワードの変更を要請した。しかし、結果としてユーザートラフィックはログインサーバーを圧倒してしまい、一時的に管理者は追加の通知が有るまでマスターパスワードの変更作業を中止するように求めたが、パスワード流出の可能性は明確に小さくなったとかんがえられるようになっていった。LastPassはまた顧客情報流出の直接的な証拠は無いが用心に越したことはないと述べた^[14]。これらの予防措置により、以降顧客情報損失やパスワード流出は検証報告されていない。コメント6にて、ジョー・シーグリストは「確かに賢明」と言った上で第三者監査に委託。しかし、監査による結果はこれまでに発表されていない。

XSSの脆弱性

2011年2月、セキュリティ研究者のマイク・カードウェルによってクロスサイトスクリプティング(XSS)のセキュリティホールが発見され、責任をもって報告、数時間内に塞いだ^[15]。しかし、低リスクと見なされるほど軽いもので、ログ検索では搾取的利用（カードウェル以外による）の証拠は出なかったが、セキュリティホール塞ぎに加えて、LastPassはさらなるセキュリティ改善のための追加手段としてHTTP Strict Transport Security (HSTS)（カードウェルの提言による）、X-Frame-Optionsの、多層防御を提供するためのコンテントセキュリティポリシー（英語版）のようなシステムが実装された^[15]^[16]。

2022年8月のハッキング被害

現地時間25日、不正アクセス被害を表明した^[17]。当時は一部ソースコードと独自技術情報のみが持ち出され、顧客データや暗号化されたパスワード保管庫にアクセスされた形跡はなかったとしていたが、その後の追跡調査により当初想定より深刻であること(顧客データも盗まれていた)が判明した^[18]^[19]^[20]^[21]。なお本件に関して謝罪表明がなされたが形式的だとして批判されている^[22]。
- その後の追跡調査により、8月のハッキング情報を元手に同年11月に再度ハッキングされ、GoToやLastPassの顧客データの暗号化済みバックアップが保存されたサードパーティ製クラウドストレージに攻撃者が侵入し、顧客データの「特定の要素」へのアクセスに成功したことが判明し、リモートコンピューター管理ソフトのen:LogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと親会社であるen:GoToが発表した^[23]。
  - クラウドストレージへの侵入が判明した時点では顧客データへの影響はまだわかっておらず、GoToはサイバーセキュリティ企業のen:Mandiantの助けを借りて調査を行っていた^[23]。
    - そしてさらなる調査の結果、LogMeIn CentralやLogMeIn Pro、オンライン会議ソフトのjoin.me、P2P型VPNツールのHamachi、リモート操作ツールのRemotelyAnywhereに関連する顧客データのバックアップも盗み出されていたことがわかった。
      - 製品によって異なるが、盗み出されたデータの中にはアカウントのユーザー名、ソルト化・ハッシュ化されたパスワード、電子メール・電話番号・請求先の住所・クレジットカード番号の下4桁などの個人情報、多要素認証設定の一部、製品設定とライセンス情報が含まれている場合があるとのこと^[23]。
        GoToは、攻撃者が本番システムにアクセスしたという証拠はまだないと述べ、TLS 1.2による暗号化とP2P技術が有効であるため、今回の攻撃がクライアントに影響を与える可能性はないと述べている^[23]。
- '23年3月1日、一連の情報流出が「従業員のPCが攻撃され、キーロガーを仕込まれた」ことに起因していることを発表した^[24]。
  - LastPassはAmazon S3を利用しており、4人の従業員にAmazon S3のアクセスキーを割り当てていたとのこと。しかし、4人のうち1人の自宅用PCがハッキングされてキーロガーを仕込まれた結果、アクセスキーが盗み出された^[24]。
    - 攻撃者は、盗んだアクセスキーを用いてバックアップデータや社内共有データなどを奪取したが、この際攻撃者は管理者のアクセスキーを用いて各種データにアクセスしていたため「異常な動作」が検出されず、問題発見の遅延につながったとLastPassは述べている^[24]。
      - LastPassはPCをハッキングされた従業員およびAmazon S3のセキュリティ強化を実施したとのこと。また、LastPassのユーザーに対してもマスターパスワードの変更や2要素認証の有効化などのセキュリティ強化を呼びかけている^[24]。