Lastpassアカウント侵害時の対処法【セキュリティの仕組み】

LastPassのセキュリティ面について知りたいですか?

Lastpassアカウントが侵害(不正アクセス)された事が懸念される場合の対処法や、LastPassのセキュリティの仕組みについて説明します。

個人情報の漏洩を避け、データを安全に保管したい経営者やビジネスパーソンは必見です。

Lastpassアカウントが侵害(不正アクセス)された時の対処法

LastPassアカウントにアクセスできるにもかかわらず、自分のアカウントが侵害(不正アクセス)されたのではないかと心配な場合は、LastPassにログインして、すぐに以下の操作を行ってください。

他のすべてのアクティブなセッションを強制終了する – Webブラウザーのツールバーで、LastPassアイコン> [ その他のオプション ] > [ 高度なツール] > [ その他のセッション] > [ 現在のセッション以外のすべてを強制終了]に移動します。詳細をご覧ください。
アカウント履歴を確認する – Webブラウザーのツールバーで、LastPassアイコン> [Vault（保管庫）を開く ] > [ その他のオプション] > [ 詳細] > [ 履歴]に移動します。不審なアクティビティをメモします。詳細をご覧ください。
注：デフォルトでは、すべてのLastPassアカウントでログインおよびフォーム入力履歴の追跡が有効になっています。アカウントが信頼できるデバイスのみに制限されていることを確認する – Webブラウザーのツールバーで、LastPassアイコン> [Vault（保管庫）を開く] > [ アカウント設定] > [ モバイルデバイス]に移動します。このリストから不明または盗難にあったデバイスを削除します。詳細をご覧ください。
アカウントが信頼できる場所のみに制限されていることを確認します -Webブラウザーのツールバーで、LastPassアイコン> [Vault（保管庫）を開く] > [ アカウント設定] > [ 詳細設定を表示]に移動します。[国の制限]の[セキュリティ]セクションで、チェックボックスをオンにして[選択した国からのログインのみを許可する]オプションを有効にし、LastPassアクセスを承認するすべての国のボックスをオンにします。完了したら、[ 更新]をクリックします。詳細をご覧ください。
マスターパスワードを更新する – Webブラウザーのツールバーで、LastPassアイコン> [Vault（保管庫）を開く] > [ アカウント設定] > [ マスターパスワードの変更]に移動します。詳細をご覧ください。
LastPassアカウントのアドレスを更新する -あなたのメールアドレスも侵害（でアクセス）されていることが懸念される場合、現在のアカウントに登録しているメールアドレスとは異なるメールアドレスに変更されることをお勧めします。

LastPassアカウントへアクセスできなくなってしまった場合は、以下の手順を実行します。

マスターパスワードを戻す –https://lastpass.com/revertをクリックし、メールアドレスを入力し、電子メールを送信します。詳細は「以前のマスターパスワードに戻す」の記事をご覧ください。
マスターパスワードを元に戻せない場合は、LastPassアカウントを削除することをお勧めします。

機密性の高いアカウント（銀行、電子メール、SNSなど）のパスワードを、安全なパスワードを生成することにより変更されることを強くお勧めします。

以下は、今後ハッカーなどによる攻撃を防ぐための防御策です。

ウイルス対策、マルウェア対策を実行して、コンピューターをスキャンし、疑わしいファイルをすべて削除します。
セキュリティ面を強化するため多要素認証を有効にします。
クレジットレポートで不審なアクティビティがあった場合に通知されるように、クレジットモニタリングアラートを有効にされることを検討してください。
パスワードとセキュアノートを定期的にエクスポートし、安全に保管してください。
LastPassセキュリティチャレンジを頻繁に実行して、脆弱なパスワード、重複したパスワード、古いパスワード、または侵害されたパスワードをチェックします。
マスターパスワードの再入力を要求することにより、LastPassアカウントデータを保護します。

LastPassのセキュリティの仕組み

LastPassが個人情報を安全に保つために用いている、セキュリティの仕組みを以下に説明します。

LastPassがサービスとデータを保護する方法

LastPassがサービスとデータを保護する方法を説明します。

機密データのローカルのみの暗号化

すべての暗号化は、サーバーではなくユーザーのデバイスでローカルに行われます。これは、ユーザーの機密データがインターネット上を移動せず、LastPass社のサーバーに接触しないことを意味します。データは、暗号化されて初めてLastPassに送信されます。そのため、LastPassはあなたの機密データにアクセスできません。また、LastPassのシステムを悪用しようとする者も、マスターパスワードを含む機密情報を知る術がありませんので、アクセスすることは不可能です。そのため、顧客がマスターパスワードを紛失したり忘れたりした場合に、LastPassカスタマーサポート側ではマスターパスワードをリセットすることはできません。

強力な暗号化とハッシュ

米国政府が極秘データに使用するものと同じ暗号化アルゴリズム（AES-256）を使用します。暗号化されたデータは、（電子メールアドレスとマスターパスワードから取得された）暗号化キーを持たないLastPassにとっても、ハッカー達にとっても意味がないものです。というのも暗号化キーはLastPassと共有されることはなく、またあなたのデータを暗号化することもできないためです。LastPassは暗号化されたデータのみを保存して、次にあなたがログインするときにアクセスできるようにするだけなのです。

ユーザーだけがデータを解読するための鍵（暗号化キー）を所有しています

暗号化キーは、ユーザーのメールアドレスとマスターパスワードから作成されます。マスターパスワードがLastPassに送信されることはありません。認証ハッシュは、ユーザーが正しいマスターパスワードを入力しているかを確認するために、LastPassが使用するものです。暗号化キーと認証ハッシュを構成するコンポーネントは、LastPassに送信されることはなく、ユーザーのローカルの端末内にあります。ハッカーが暗号化されたデータにアクセスできたとしても、彼らはマスターパスワードを持っていないので、ハッカーにとってデータを見ることができません。LastPassは、追加ポリシーを設定・管理することで、LastPassをさらに使いやすくすることもできます。詳しく以下に説明していきます。

管理者として、チームメンバーとビジネスを保護する方法

管理者として、チームメンバーとビジネスを保護する方法を説明します。

ポリシーを管理する

セキュリティ面と使いやすさのバランスを取る必要があるので、1種類の設定が他のチームメンバー全てに適しているわけではありません。そのため、さまざまなポリシーを設定することで、メンバーの好みを定義することができます。これにより、チームメンバーがLastPassを使用する方法や、LastPassに保存しているデータに、どうアクセスを許可するかをより詳細に管理することができます。例えば以下のようなポリシーを設定できます。

特定の機能の使用を制限、または強制する
特定の箇所、またはデバイスへのアクセスを制限する
セキュリティを強化するために多要素認証を導入する

LastPassを他のメンバーに使用させる前に、利用可能なポリシーを確認されることを強くお勧めします。

LastPassユーザーがパスワードとアカウントを保護する方法

LastPassユーザーがパスワードとアカウントを保護する方法を説明します。

強力なパスワードを生成する

LastPassを使用すれば、以下のような不要な作業を無くすことができます。

すべてのサイトに同一のパスワードを使用する
パスワードをメモ等に書き留める
パスワードを忘れないため自分にメールを送信する

LastPassパスワードジェネレーターを使用することで、以下2点を行うことができます。

各サイトごとに強力なパスワードを作成する
個々のパスワード生成を、Vault（保管庫）に自動的に保存する

またLastPassを使用すると、パスワードをメモする手間を省くことができるので、オンラインでのデータ管理をより安全にしてくれます。LastPassのパスワード生成ジェネレーターを使用することでチームメンバーのパスワードを、

ランダムで
長く
強力に

してくれるにも関わらず、作業を簡単に行えるようにもしてくれます。

もっと知りたい

フィッシング詐欺から身を守るにはどうすればよいですか？

LastPassは他にどのようなデータを処理しますか？

LastPass Vault（保管庫）はマスターパスワードで暗号化されているのに、なぜワンタイムパスワードで解読できるのですか？

マスターパスワードがLastPassに送信されることはありません。

マスターパスワードを使用してLastPassにログインすると、パスワードハッシュと暗号化キーの両方がローカルで生成されます。

パスワードハッシュは、本人を確認するために、LastPassのサーバーに送信されます。確認されると、LastPassはVault（保管庫）にアクセスする権限を付与します。これは、マスターパスワードではなく、パスワードハッシュのみがLastPassに送信されることを意味します。
暗号鍵は、コンピュータ上に残ることはないし、検証をした後に、ローカルのVault（保管庫）を暗号化するために使用されることもありません。

機密データは暗号化されています。

256ビットAES 暗号化を使用して、LastPass Vault（保管庫）のコンテンツを保護します。Vault（保管庫）はLastPassサーバーに到達する前に既に暗号化されているため、LastPassの担当者がVault（保管庫）のコンテンツにアクセスすることはできません。

LastPassは一方向性関数を使用しています。

一方向性関数は、元に戻すことはできないものです。

ハッシュは、マスターパスワードを用いたものです。

ソルティング（暗号化）のプロセスは、複雑さを増すためにハッシュに余分なデータを追加します。LastPassは、ユーザー名を使用してマスターパスワードをソルト（暗号化）します。

つまり、LastPassはユーザー名とマスターパスワードを一方向関数に入力して、ソルトハッシュを作成します。機能は元に戻せないため、ソルトハッシュが危険にさらされても、攻撃者はマスターパスワードを取得できません。

LastPassはPBKDF2-SHA256ラウンドを使用します。

この機能により、パスワードを正確に推測するために必要な反復回数が増えるため、攻撃者（ハッカー）にとってソルトハッシュはさらに複雑になります。繰り返し回数の多い一方向ソルトハッシュを使用し、マスターパスワードを長く複雑にすることで、機密性の高い情報が危険にさらされるのを防ぐことができます。

詳細については、LastPass SecurityおよびLastPassテクニカルホワイトペーパーをご参照ください。