Lastpassブラウザ拡張の脆弱性が明らかに：安全性を維持する方法

LastPassは、この1週間で複数の脆弱性がサービスで明らかになったため、最も人気のあるパスワードマネージャーの1つであるブラウザー拡張機能で深刻な問題に直面しています。

テクノロジーは進化し続けており、ライフスタイルを向上させることを意図していますが、特定のバグが悪用された場合、特に数千万のパスワードの保護を担当するLastPassなどのサービスが懸念される場合、損害を与えることさえあります。

先週、3月20日に、GoogleのProject Zeroの研究者であるTavis Ormandyは、LastPassのブラウザ拡張機能の2つのバグを発見しました。これにより、ユーザーはリモートコード実行に対して脆弱になりました。

明らかになった脆弱性は、サービスのビジネスユーザーと個人ユーザーの両方に影響を及ぼしました。

先週明らかにされた脆弱性

3月20日： Tavis Ormandyが、LastPassのブラウザ拡張に影響を与える2つのリモートコード実行（RCE）脆弱性を発見-攻撃者がパスワードを盗む可能性

おっと、4.1.42（Chrome&FF）に影響する新しいLastPassバグ。 「バイナリコンポーネント」を使用する場合はRCE、それ以外の場合はpwdを盗むことができます。 方法の完全なレポート。 pic.twitter.com/y92vm3Ibxd

- Tavis Ormandy（@taviso）2017年3月20日

3月21日： LastPassはOrmandyのレポートを確認し、脆弱性が存在し、チームがそれらの修正に取り組んでいることを確認します。

@tavisoによる報告を認識しており、解決に取り組んでいる間、チームが回避策を実施しています。 アップデートをお楽しみに。

- LastPass（@LastPass）2017年3月21日

3月22日：同社は、Chrome（v 4.1.43）およびFirefox（v 4.1.36）の新しいバージョンのセキュリティ拡張機能を備えたブラウザ拡張機能をリリースしたことを発表しました。

また、この期間中にデータが侵害されることはなく、ユーザーは資格情報の変更について心配する必要がないと述べました。 Microsoft EdgeおよびOperaブラウザ拡張機能の更新バージョンは、会社の承認が得られるまでリリースされます。

3月25日： Tavis Ormandyは、Google Chromeブラウザー拡張機能の更新バージョン（v 4.1.43）が直面している別の脆弱性を発見しました。 LastPassは、3月22日の発表のアップデートでこの脆弱性を認めています。

ああ、私は今朝シャワーにひらめきを感じ、LastPass 4.1.43でcodeexecを取得する方法に気付きました。 途中で完全なレポートと悪用。 pic.twitter.com/vQn20D9VCy

- Tavis Ormandy（@taviso）2017年3月25日

3月27日： LastPassは声明を発表しました。「脆弱性に積極的に対処していません。 この攻撃は独特で非常に高度です。 あまり洗練されていないが、悪意のある関係者に何かを明らかにする可能性のある脆弱性または修正に関する具体的な情報を開示したくありません。」

安全を確保する方法は？

現在、LastPassはサービスのセキュリティ問題の修正に取り組んでいることを確認しており、まもなく完全な修正が期待できます。 それまでの間、LastPassユーザーは次の注意事項に留意することをお勧めします。

• ログイン資格情報を保護するために、ユーザーはその間にブラウザ拡張機能を無効にし、脆弱性が会社によって解決されるまでLastPass Vaultから直接Webサイトを起動することをお勧めします。
• このオプションを提供するすべてのアカウントに対して2要素認証を有効にし、攻撃者によって脆弱性が悪用された場合に備えて、アカウントに追加のセキュリティ層を提供します。
• フィッシング攻撃に注意してください。 信頼できないソースからのリンクをクリックしないでください-あなたが知らない人

LastPassの代替品をお探しですか？ ここで上位3つの代替案をご覧ください。