パスワードマネージャーの「LastPass」でユーザーがアカウントから締め出されパスワード情報にアクセスできなくなる事態が発生

パスワードマネージャー「LastPass」で、ユーザーがLastPassアカウントから締め出されるという事態が発生しています。原因はLastPassアカウントの多要素認証設定をリセットしなければいけなくなったことにあるそうです。

LastPass users furious after being locked out due to MFA resets
https://www.bleepingcomputer.com/news/security/lastpass-users-furious-after-being-locked-out-due-to-mfa-resets/

Some LastPass users are locked out of their accounts after trying to reset their authenticator app - gHacks Tech News
https://www.ghacks.net/2023/06/25/some-lastpass-users-are-locked-out-of-their-accounts-after-trying-to-reset-their-authenticator-app/

2023年4月頃、LastPassは現地時間の2023年5月9日に実施予定のセキュリティアップデートにより、ユーザーがアカウントに再度ログインし、多要素認証の設定をリセットしなければいけなくなる可能性があると報告しました。

しかし、5月9日に実施されたセキュリティアップデート以降、多要素認証用のアプリケーションであるLastPass AuthenticatorやMicrosoft Authenticator、Google Authenticatorなどで、設定を正しくリセットした場合であっても、ユーザーがアカウントから締め出されてしまい、LastPassにアカウントにログインできなくなってしまうという問題が報告されています。

この問題は、LastPassの親会社であるGoToのコミュニティフォーラムであるGoTo Communityなどでも報告されています。

Solved: Re: Authenticator Reset - GoTo Community
https://community.logmein.com/t5/LastPass-Support-Discussions/Authenticator-Reset/m-p/305738

コミュニティフォーラムでは解決方法としては以下の3つが挙げられています。

1：
IPアドレスや新しいデバイスを確認するため、LastPassからの確認メールが届いていないかメールアドレスをご確認ください。期限切れのものがあれば、再度ログインを試み、新しい確認用メールを送信してください。

2：
アカウントのパスワードを覚えていないためLastPassからロックアウトされた場合は、このページからカスタマーサポートに連絡してください。

3：
多要素認証を再同期できないためロックアウトされているという場合は、このページからカスタマーサポートに連絡してください。メールで再同期を行うための作業をフォローします。

この他、LastPass公式は問題解消には「ブラウザからLastPassの公式サイトにログインし、多要素認証アプリケーションを再登録し直す必要がある」と説明しています。多要素認証アプリケーションとのペアリングを解除するための方法については、以下のサポートページで手順が説明されています。なお、LastPassのブラウザ拡張機能やLastPass Password Managerアプリから多要素認証アプリケーションの再登録は不可能です。

Why do I have to reset my authenticator app?
https://support.lastpass.com/s/document-item?language=en_US&bundleId=lastpass&topicId=LastPass%2Fwhy_do_i_have_to_reset_my_authenticator_app.html

上記の問題に遭遇しているLastPassユーザーのアカウントでは、「あなたの認証アプリをリセットしてください」というメッセージが表示される模様。

Twitterユーザーの@clarbnerさんは「多要素認証の強制再同期により、LastPassが新しい認証コードを認識しないためアカウントにログインできなくなりました。DMを送ってみましたが、メッセージは送信できません。何が起こっているのでしょう？これは明らかに多くのユーザーに影響を与えています」と、問題に遭遇していることを報告しています。

ユーザーからの「アップデート前にユーザーに告知すべきだった」という指摘に対して、LastPassのTwitterアカウントは「アプリ内メッセージが数週間にわたり表示されており、メールはアップデートの1カ月以上前に送信されていました。アプリを使用しておらず、メールの購読を解除しているユーザーに対しては、アップデート内容を明確に伝えることができていなかったことをお詫び申し上げます」と返答しています。

今回の問題を引き起こすことになった「5月9日に実施されたセキュリティアップデート」について、LastPassは「パスワードの反復回数のデフォルト数値を『60万回』に増やすために実施した」と説明。

さらに、LastPassは「マスターパスワードのセキュリティを強化するために、LastPassは通常よりも強力なバージョンのパスワードベースのキー導出関数(PBKDF2)を利用しています」「最も基本的なPBKDF2は、侵害攻撃時にコンピューターが任意の1つのパスワードが正しいマスターパスワードであることを確認することを困難にする『パスワード強化アルゴリズム』です」「すべての顧客のパスワードの反復回数が増えるにつれて、強制ログアウトと多要素認証の再同期イベントが発生しています。これはLastPass Vaultの暗号化に関係しています」とも記しています

今回の騒動について、テクノロジーメディアのBleepingComputerがLastPassにコメントを求めたところ、同社の広報担当者から「2022年のインシデントの後、我々は顧客にメールと製品内コミュニケーションで、アカウント侵害の予防策として『認証アプリを使用した多要素認証』をリセットするよう通達しました。これは、B2Cの顧客向けに送信したセキュリティ情報にも含まれていました。B2Bの顧客には3月初旬に1回、4月初旬にも1回メールで通知しています」という返答が得られたそうです。

なお、LastPassの広報担当者は「しかし、一部のお客様は依然としてこのアクション(多要素認証のリセット)を実施していないため、LastPassにログインしようとするユーザーに、多要素認証のリセットを実行するよう推奨する通知を表示しています。アプリケーション内での通知は2023年6月初旬から実施しており、これが効果を発揮することを期待しています」と述べています。