パスワード管理サービス「LastPass」のブラウザー拡張機能に脆弱性が相次ぐ

公式ブログ“The LastPass Blog”

　米LastPassは27日（現地時間、以下同）、パスワード管理サービス「LastPass」のブラウザー拡張機能に新たなクライアントサイドの脆弱性が発見されたことを明らかにした。修正版は現在準備中で、公開されるまで拡張機能は利用せず、オンラインの保管庫（lastpass.com）を直接利用すること、二段階認証を有効にすること、フィッシング攻撃に注意することを呼びかけている。

　同社は、Googleの“Project Zero”に所属するセキュリティ研究家Tavis Ormandy氏から脆弱性の報告を受けたとして、22日にも「LastPass」拡張機能のアップデートを実施していたが、その後、再び追加の脆弱性報告を受けたという。同社は攻撃に悪用されることを懸念して詳細を明らかにしていないが、修正作業が完了し次第、より詳細な情報を公開するとしている。

　なお、現在“Add-ons for Firefox（AMO）”で公開されているFirefox向け「LastPass」のv3.x系統は、「Firefox」のWebExtensions移行に伴い今後数週間で廃止されるとのこと。公式サイトで配布されているv4.x系統に置き換えられるという。