Cassidy氏は11月、LastPassにこのセキュリティの問題を報告した。LastPassは12月にこの問題を確認した。LastPassは、ユーザーがボールトのマスターパスワードを他のウェブサイトに入力する際に警告することでこの攻撃を緩和するという対応を行った。しかしCassidy氏は、この対応で問題は十分に解決されないとして、次のように述べた。
「攻撃者に制御されたウェブサイトでは、この通知が追加された際に容易に検知できる。そして攻撃者はあらゆることができるようになる。LostPassで、私は通知を止め、攻撃者のサーバにリクエストを送信して、パスワードを記録する」
LostPassの攻撃コードはGitHubで公開されている。
LastPassは1月、パスワード保管サービスを改良して「LastPass 4.0」をリリースした。今回発表された攻撃手法は、この最新版に攻撃を仕掛けられるように特に設計されたものだ。
LastPassの広報担当者は、米ZDNetの取材に対して次のように回答した。
「セキュリティは、LastPassでわれわれが最も重視していることだ。より一層安全なサービスを提供するというわれわれの取り組みを支援し、セキュリティ脅威に関する情報をユーザーに提供する機会を与えてくれる研究者のコミュニティーの貢献を、われわれは高く評価している」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」