LastPassを使用している場合、攻撃者があなたの保管庫とすべてのパスワードのコピーを持っている可能性があります。

今、あなたのマスターパスワードを変更しても意味がありません。すでに古いパスワードで解読可能なコピーが存在するからです。

背景:
LastPass、著名なパスワードマネージャーが最近ハッキングされ、保存されたすべてのパスワードが盗まれました。ハッカーは、顧客データのバックアップを奪取し、機密データと当然のことながらパスワードを含む情報を取得しました。これらは暗号化されていたとはいえ、依然として大きなリスクです。12月22日、LastPassは公式ブログで不正アクセスがあったと発表しました。ハッカーは、ウェブサイトのURLのような非暗号化データおよびユーザー名、パスワード、セキュリティメモ、フォーム自動入力データといったすべての機密暗号化データを含むバックアップを取得しました。

どうすべき？

1.) もうLastPassを使わないでください。
現状がどれほど深刻なのかは分かりません。攻撃者が今もアクセス権を持っている可能性があります。したがって、単にパスワードを変更し、再びLastPassに保存するのは避けましょう。まず、手動で緊急のアカウントに対処し、その後新しいパスワードマネージャーを設定します。

2.) 仮想資産を持っており、LastPassにシードフレーズを保存していた場合、すぐに対処が必要です。
新しいウォレットを作成し、シードフレーズを紙にだけ書き留め、すべての資産を新しいウォレットに移動します。
理想的な保管方法を模索する時間はありません。攻撃者があなたのシードフレーズにアクセスできるなら、資産を奪われる危険があります。資産の安全をまず確保し、長期的な保管対策については後で考えましょう。

3.) 取引所やその他の金融商品についてのパスワードを変更します。
まずはパスワードを紙に書いておきましょう。取引所ごとに異なるパスワードを使用します。

2FAを有効にし、2FAコードがLastPassに保存されていないことを確認します。もし保存されているなら、2FAを削除し別のアプリで再設定してください。

4.) メールのパスワードを変更します。
メールにアクセスできる人は「パスワードのリセット」機能を通じて他のアカウントにアクセスする可能性があります。メールが安全であることを確認してください。サービスごとにユニークなパスワードを使用し、紙に記録し、LastPassに保存されていない2FAを使うようにします。

5.) Apple iCloudやGoogleアカウントのパスワードと2FAも変更します。
これらのアカウントはバックアップやクラウド同期を経てiPhone/Android上のデータにアクセスし、可能性としてあなたを締め出すかもしれないため、迅速に変更してください。

6.) あなたの主要なデータは守られました。次に新しいパスワードマネージャーを設定しましょう。
1Password/Bitwarden/Keepassを検討してみてください。推奨はKeepassです。 こちらのビデオも参照ください。

新しい、強力なマスターパスワードで設定し、マネージャーに新しいパスワードを保存します。シードフレーズは含めないでください。オンラインパスワードマネージャーには重要すぎます。

7.) 新しいパスワードマネージャーを手に入れたら、それを使用してすべての非重要アカウントのパスワードを変更します。
はい、すべてです。
おそらく多数あるので、最も重要なものを優先します。仕事のアカウント、ファイルや写真の収納、ソーシャルメディアなど。

8.) 最近、「パスワードレス」というビデオを公開しました。必ず見てください。これは、USBセキュリティトークンを使って、同じことが再び起こらないようにするのに役立ちます。