Cassidy氏は11月、LastPassにこのセキュリティの問題を報告した。LastPassは12月にこの問題を確認した。LastPassは、ユーザーがボールトのマスターパスワードを他のウェブサイトに入力する際に警告することでこの攻撃を緩和するという対応を行った。しかしCassidy氏は、この対応で問題は十分に解決されないとして、次のように述べた。
「攻撃者に制御されたウェブサイトでは、この通知が追加された際に容易に検知できる。そして攻撃者はあらゆることができるようになる。LostPassで、私は通知を止め、攻撃者のサーバにリクエストを送信して、パスワードを記録する」
LostPassの攻撃コードはGitHubで公開されている。
LastPassは1月、パスワード保管サービスを改良して「LastPass 4.0」をリリースした。今回発表された攻撃手法は、この最新版に攻撃を仕掛けられるように特に設計されたものだ。
LastPassの広報担当者は、米ZDNetの取材に対して次のように回答した。
「セキュリティは、LastPassでわれわれが最も重視していることだ。より一層安全なサービスを提供するというわれわれの取り組みを支援し、セキュリティ脅威に関する情報をユーザーに提供する機会を与えてくれる研究者のコミュニティーの貢献を、われわれは高く評価している」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
誰でも、かんたん3D空間作成
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
脱炭素のために”家”ができること
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
写真で見るモトローラの「手首に着けるスマホ」コンセプトモデル 
シャオミ初のEV「SU7」、MWCに登場 
写真で見る「Ai Pin」--手のひらに投影できるウェアラブルAIデバイス