米パスワード管理サービス会社からユーザー情報流出 ラストパスの有効性に疑問
パスワード管理サービスを手がける米ラストパスは15日、社内のコンピューターシステムが不正侵入され、ユーザーの電子メールアドレスやパスワードを忘れた際の質問文、暗号化されたマスターパスワードが流出したと発表した。
ラストパスは、ユーザーが複数のサイトなどで使っているパスワードをインターネットで1ヶ所に保存して、1つのマスターパスワードでアクセスできるサービスを提供していた。
不正侵入が発覚したのは12日。まだ調査に乗り出したばかりだが、暗号化されていないマスターパスワードが盗まれた形跡はないとしている。
盗まれたパスワードも暗号化によって守られてはいるものの、例えば「Password123」といった安易なパスワードを使っていた場合、簡単に破られる恐れもある。多数のサーバーを動員すれば、盗まれた全パスワードが破られてしまう可能性もある。
サイバーセキュリティー企業ラピッド7の専門家は、「攻撃側がマスターパスワードに対して総当たり攻撃をするのに必要なものは全てそろったようだ」と解説する。
以上、CNN
演算や通信速度が極端に早くなりすぎ、それも自動でパスワードを解明するプログラムを流していれば、あらゆるパスワードを解明することが可能となっている。
<米政府機関でも再びハッカー攻撃受ける>
米政府機関のシステムへの不正侵入に絡み、複数の米政府当局者は12日、ハッカーが軍や情報機関を含む政府機関の職員から、機密情報へのアクセス権の申請に関する情報を盗み出していた可能性があると明らかにした。
盗まれたデータには、最高機密レベルの1つである「極秘」扱いの情報へのアクセス権申請が含まれている。
秘密作戦や国家安全保障に関わる技術データなど、極秘よりさらに機密性の高い情報は特別な権限が付与された人物のみがアクセス可能なため、漏洩はないと見られる。ただ、下位のアクセス権限者が意図せず機密性の高い情報の一部をリスクにさらしていた可能性はあるという。
米国では先週、人事管理局への不正アクセスで最大で職員ら400万人の個人情報が流出したとみられる事件が発覚。政府は中国のハッカーによる仕業だと非難した。
盗まれた情報の中にはパスワードリマインダーも含まれる。例えば「あなたの出生地は?」といった質問は、記録を調べたりソーシャルメディアをチェックしたりすれば誰でも答えを見つけられる。
マスターパスワードが破られた場合、電子メールやソーシャルメディアのアカウント、銀行口座、通院歴といった重要情報に不正アクセスされる被害も想定される。
現代のユーザーは幾つものパスワードを使い分ける必要性に迫られている。同じパスワードの使い回しは危険とされているものの、何十ものパスワードを記憶するのは厄介。そうした中で3番目の選択肢としてセキュリティ専門家などが奨励していたのが、ラストパスのようなパスワード管理サービスだった。
以上、CNN
ラストパスも上の記事では危険にさらされている。
最終のお持ち帰り先に爆弾を仕掛けられるようにすれば、相手が持ち帰った途端、閲覧開始と同時に相手を破壊することができようが。
SPEへの攻撃に対するSPEの反撃を高度化すればいいのでは・・・。
コメントをどうぞ