2019 年 9 月 26 日 Trevor Collins 著

Google Project Zero のリサーチャである Tavis Ormandy 氏が先週、ブラウザの拡張機能である LastPass の脆弱性を発見し、公開しました。Chrome と Opera の拡張機能に影響を与える、この脆弱性を悪用することで、悪意あるサーバによる、LastPass の認証情報の不正取得が可能になります。LastPass も Project Zero も、このエクスプロイトの詳細を公表していませんが、Project Zero のメモから判断すると、攻撃者は、ブラウザの別のタブにキャッシュされている認証情報を使ってこの拡張機能を騙し、間違ったパスワードをオートフィルするものと考えられえます。LastPass によれば、このエクスプロイトにはユーザによる何回かのクリックが必要であり、最初の Web ページのロードだけでパスワードを盗むことはできません。

LastPass のようなパスワードマネージャは、ハッカーにとって最高に価値ある標的であるため、どのようなエクスプロイトであってもすぐに対策を実施しないと、甚大な被害につながる恐れがあります。このエクスプロイトの影響を受けるのはChrome と Opera の構成だけでしたが、LastPass の 4.33.0へのアップデートで、すべてのブラウザでこのエクスプロイトが解決されました。LastPass はデフォルトでは、ユーザによる操作を必要とすることなく自動アップデートされるようになっていますが、構成でこれをオフにすることもできます。Chrome の場合であれば、LastPass アイコンを右クリックし、「Manage extensions」を選択することでバージョンを確認できます。Opera では、こちらの指示に従うことで確認できます。

パスワードマネージャはセキュリティを強化する優れた方法ですが、標的として狙われやすいという欠点もあります。常に最新版にアップデートするよう心がけてください。