マルチプラットフォーム対応のパスワードマネージャー「LastPass」に2件の脆弱性

LastPassの公式ブログ

　米LastPassは27日（現地時間）、マルチプラットフォーム対応のパスワードマネージャー「LastPass」に2件の脆弱性があること明らかにした。

　1つ目は、セキュリティ研究者Mathias Karlsson氏によって指摘されたURL解析の脆弱性。この脆弱性は1年以上前に開発チームへ開示され、修正が完了するまで秘匿されていたものだ。現在ではすべてのWebブラウザー用クライアントが更新され、ユーザーによる対応が不要になっていることが確認されているという。また、同氏にはLastPassから1,000米ドルの報奨金が支払われている。

　2つ目は「Firefox」用のアドオンに影響するメッセージハイジャックの不具合で、昨日Googleの研究者Tavis Ormandy氏によって報告された。この脆弱性が悪用されると、悪質なWebサイトへ誘導されてしまう恐れがあるとのことで、問題が修正された最新版が「LastPass 4.0」を利用する「Firefox」ユーザーに対してリリースされている。

　加えて、同社はユーザーに対し、フィッシング攻撃へ常に留意して安易にリンクをクリックしない、オンラインアカウントごとに異なるパスワードを設定する、2要素認証が利用できるサービス（TwitterやFacebookなど）ではそれを利用する、ウイルス対策ソフトを利用するとともにソフトウェアを常に最新版に保つといった対策を講じることを推奨している。