ニューヨーク(CNNMoney) パスワード管理サービスを手がける米ラストパスは15日、社内のコンピューターシステムが不正侵入され、ユーザーの電子メールアドレスやパスワードを忘れた際の質問文、暗号化されたマスターパスワードが流出したと発表した。
ラストパスは、ユーザーが複数のサイトなどで使っているパスワードをインターネットで1カ所に保存して、1つのマスターパスワードでアクセスできるサービスを提供していた。
不正侵入が発覚したのは12日。まだ調査に乗り出したばかりだが、暗号化されていないマスターパスワードが盗まれた形跡はないとしている。
盗まれたパスワードも暗号化によって守られてはいるものの、例えば「Password123」といった安易なパスワードを使っていた場合、簡単に破られる恐れもある。多数のサーバーを動員すれば、盗まれた全パスワードが破られてしまう可能性もある。
サイバーセキュリティー企業ラピッド7の専門家は、「攻撃側がマスターパスワードに対して総当たり攻撃をするのに必要なものは全てそろったようだ」と解説する。
盗まれた情報の中にはパスワードリマインダーも含まれる。例えば「あなたの出生地は?」といった質問は、記録を調べたりソーシャルメディアをチェックしたりすれば誰でも答えを見つけられる。
マスターパスワードが破られた場合、電子メールやソーシャルメディアのアカウント、銀行口座、通院歴といった重要情報に不正アクセスされる被害も想定される。
現代のユーザーは幾つものパスワードを使い分ける必要性に迫られている。同じパスワードの使い回しは危険とされているものの、何十ものパスワードを記憶するのは厄介だ。そうした中で3番目の選択肢としてセキュリティ専門家などが奨励していたのが、ラストパスのようなパスワード管理サービスだった。