LastPassがハッキングされました。

また。

まだ。

今回は（2度目ですが）攻撃者がLastPassの開発環境にアクセスしました。3か月前にも同じ問題が発生していました。同社は2011年、2015年、2016年、2017年（2回）、2019年、2021年、そして2022年にもセキュリティインシデントが発生しています。

LPによると、全く心配する必要はないとのことです。同社のブログ記事には、「LastPassのゼロナレッジアーキテクチャにより、お客様のパスワードは安全に暗号化されたままです」と記載されています。しかしながら、「ハッキングされましたが、ご心配なく」と常に言い続けるセキュリティ重視の企業からサービスを購入するのは、しばらくすると空虚に聞こえるのではないかと、私は考えざるを得ません。

10年以上前にLastPassについて初めて聞いたとき、そのアイデアは興味深いと思いました。すべてのデータ（LastPassによると、FOSSではないので信頼する必要があります）は暗号化されたBLOBとしてサーバーからブラウザに渡されます。LastPassのサーバーコードはデータに一切アクセスしないため、サーバー上でハッキングされる可能性はありません。理論上は。

しかし、セキュリティのプロなら誰でも言うように、あらゆる暗号化システムの弱点は256ビットRSA暗号などではなく、実装の詳細にあります。LastPassが常に失敗しているのは、その脆弱な企業セキュリティ対策と相まって、実装の詳細が問題なのです。

必ずしもこの製品を推奨しているわけではありませんが、1Password（主要な競合企業）のWikipediaページに記載されているセキュリティインシデントがゼロなのは興味深いですね。ゼロです。一方、LastPassは2011年以降9件発生しています。

一度騙されたら恥を知れ、九回騙されたら…