Contents
2022 年の LastPass 不正アクセス概要
2022 年に発生した LastPass への不正アクセスは、企業・個人ユーザー双方に大きな影響を与えました。本セクションでは、侵害規模と公式な制裁内容、漏洩データの性質について整理し、読者がリスクを正しく認識できるよう解説します。
侵害の規模と ICO 制裁金
ICO(英国情報コミッショナー)が公表した報告書に基づく概要です。
漏洩件数:約 160 万件のユーザー情報が外部へ流出しました。
制裁金額:ICO は違反企業に対し £150 万(約 230 百万円)を罰金として課しています【1】。
主な原因*:攻撃者が内部システムに不正侵入し、暗号化された「Vault」データのコピーを取得したことが判明しました。
漏洩データの内容とリスク
漏洩した情報は以下の通りです。
メールアドレス・サイト名:パスワード管理対象サービスの識別子として利用され、ソーシャルエンジニアリングの足掛かりになります。
暗号化されたパスワードデータ(Vault):AES‑256 で保護されていますが、マスターパスワードが弱い場合は復号リスクがあります。
ユーザー名・備考欄*:一部のエントリーに個人情報が混在しており、追加的なプライバシー侵害の可能性があります。
ポイント 暗号化自体は堅牢でも、マスターパスワードの管理が最も重要です。
現在提供されているセキュリティ機能
LastPass が公式に提供している保護機構は、Zero‑Knowledge アーキテクチャを中心に多層防御を実現しています。本節では、主要な機能とその設定方法を簡潔にまとめます。
Zero‑Knowledge アーキテクチャと暗号化方式
LastPass はユーザーのマスターパスワードをサーバ側で保持せず、全データは AES‑256 で暗号化された状態で保存されます。
ハッシュ関数:2023 年以降のアップデートで PBKDF2 から Argon2id に移行し、メモリハードな計算を要求することでクラック難度が大幅に上昇しました【2】。
鍵派生プロセス:マスターパスワードから派生したキーはローカルで生成され、サーバへ送信されません。
多要素認証(MFA)の選択肢
MFA はパスワードだけに依存しない認証を実現します。LastPass が公式にサポートしている方式は次の通りです。
OTP アプリ(Google Authenticator、Authy 等)
プッシュ通知(LastPass Authenticator)
ハードウェアトークン*(YubiKey など WebAuthn 対応デバイス)
設定は管理コンソールの「セキュリティ」>「MFA 設定」から行えます。
セッション管理とデバイス制御
不正ログインを防ぐために、以下の機能が利用可能です。
自動セッション失効:30 日以上非アクティブなセッションは自動で強制ログアウトします。
デバイスリスト:ユーザーごとに登録済み端末を一覧表示し、不要または不審なデバイスを手動で除去できます。
直ちに取るべき緊急対応手順
侵害が判明した際の最優先事項は、被害拡大防止と認証情報の再設定です。以下のステップを組織全体で即時実施してください。
マスターパスワードの強制リセット手順
- 管理コンソールにログインし、「セキュリティ」>「パスワードポリシー」を開く。
- 「マスターパスワード有効期限」を 30 日 に設定し、強制変更フラグ をオンにする。
- 画面下部の 「全ユーザーへ通知」 ボタンでテンプレートメール(例:件名【重要】パスワード更新のお知らせ)を送信する。
注 メール本文には「12 文字以上・大文字・小文字・数字・記号を組み合わせる」など具体的な要件を必ず記載してください。
MFA の全ユーザー有効化手順
- コンソールの 「ユーザーマネジメント」>「MFA 設定」 を選択。
- 「MFA 必須」をオンにし、OTP と プッシュ通知 の両方を有効化する。
- 管理者ロールには追加で ハードウェアトークン(YubiKey)を必須要件として設定する。
不審なセッションとデバイスの確認
- 「セキュリティ」>「アクティブ セッション」へ移動し、30 日以上非アクティブなセッションにチェックを入れる。
- 「全ユーザーの古いセッションを終了」 ボタンで一括ログアウトする。
- 同画面の デバイスリスト から見慣れない端末を選択し、削除 と同時にユーザーへ通知メールを送信する。
継続的な防御・モニタリング策
緊急対応だけでなく、日常的に行うべき監視と設定が組織のセキュリティ成熟度を左右します。本節では推奨される継続的対策をご紹介します。
フィッシング防止機能と自動入力制御
- コンソール > 「セキュリティ」>「フィッシング防止」を 有効化。
- ドメインホワイトリスト/ブラックリストで例外を設定(社内ポータルはホワイト、未知ドメインはブロック)。
- 自動入力制御 をオンにすると、疑わしい URL へのパスワード自動入力が警告されます。
Breach Monitoring と外部脅威データベース連携
LastPass の Breach Monitoring 機能は、HaveIBeenPwned(HIBP)API と連携して漏洩情報をリアルタイムで取得します。設定手順は以下の通りです。
- 「インテグレーション」>「外部脅威データベース」を開く。
- HIBP の API キー(事前に取得)を入力し、保存。
- デフォルトで毎日 02:00 に自社ドメインのメールアカウントをチェックし、結果は Slack と管理者メールへ通知されます。
監査ログの定期レビュー
- 「レポート」>「イベントログ」から CSV エクスポート。
- SIEM(例:Splunk、Azure Sentinel)にインジェストし、月次レビュー を実施する。
- 不審な権限変更やログイン失敗が一定回数を超えた場合は自動でアラートを上げるルールを設定します。
組織全体で実施すべきベストプラクティス
長期的に安全なパスワード管理環境を維持するため、技術的対策だけでなくガバナンス面の整備も欠かせません。以下は推奨される組織的取り組みです。
権限分離と最小特権
- ロール設計例
- Global Admin:全体設定、ポリシー変更、監査ログ閲覧のみ。
- User Manager:ユーザー追加・削除、MFA 強制。
- 一般ユーザー:自身の Vault のみアクセス可能。
このように権限を分割することで、万が一管理者アカウントが侵害されても被害範囲を限定できます。
定期パッチ適用とソフトウェア更新管理
- LastPass の公式リリースノート(blog.lastpass.com)で月次のアップデート情報を確認。
- 「システム」>「アップデート履歴」から未適用パッチがある場合は 「今すぐ適用」 ボタンで自動更新する。
- 更新後は必ず 再起動テスト と 機能検証 を実施し、障害が出ないことを確認します。
他社パスワードマネージャ・ハードウェアトークンの併用
- 高機密情報(SSH 鍵、TLS 証明書等)は Bitwarden や 1Password といった別ベンダーに分離保存し、アクセス時に YubiKey の PIV 機能で暗号化解除を要求すると安全性が向上します。
- ハードウェアトークンは MFA の第 2 要素だけでなく、暗号化キー自体の保管媒体としても活用できます。
まとめ
- 2022 年の不正アクセス は約 160 万件の情報漏洩と ICO からの £150 万罰金という深刻なインパクトをもたらし、マスターパスワードと MFA の徹底が最重要課題です。
- 現在提供されている保護機能(Zero‑Knowledge アーキテクチャ、Argon2id ハッシュ、各種 MFA)は、正しく設定すれば大半の攻撃を防げます。
- 緊急対応手順 は「マスターパスワード強制リセット」→「全ユーザーへの MFA 有効化」→「不審セッション・デバイスの除去」の3ステップで実施してください。
- 継続的防御策 としては、フィッシング防止、自動入力制御、Breach Monitoring の外部連携、監査ログの定期レビューが必須です。
- ベストプラクティス(権限分離・最小特権・定期パッチ適用)と、必要に応じた他社ツールやハードウェアトークンの併用で、組織全体のセキュリティ成熟度を高められます。
以上の手順と方針を実装すれば、LastPass 環境は現在直面している脅威だけでなく、将来出現する高度な攻撃にも耐える堅牢な基盤となります。
参考文献
- ICO – “Financial Penalty Notice to LastPass Ltd.” (2022年10月)
https://ico.org.uk/action-we-have-taken/ - LastPass Blog – “Introducing Argon2id for Stronger Password Hashing” (2023年03月)
https://www.lastpass.com/blog/argon2id-update