要約

  • LastPass の2022年のインシデントが問題である理由は、コピーされたデータが単なるサポートデータベースやアカウント記録の一覧ではなかったことです。LastPass 自身のアップデートによれば、アクセスされたクラウドストレージ環境には、暗号化されたバックアップ形式の顧客ボールトデータと暗号化されていないメタデータが含まれており、修復の問題はマスターパスワードの強度、暗号化設定、顧客の行動、その後の攻撃試行に依存していました。
  • 中心的な説明責任の問題は、コストの転嫁です。パスワードマネージャーは、顧客のマスターパスワードを知らないと正直に主張しつつも、顧客に長年にわたる修復作業を残すことができます。つまり、高価値のシークレットのローテーション、フィッシングへの警戒、保存された URL の確認、API キーの交換、コピーされたボールト内のすべての古いパスワードを漏洩の可能性があるものとして扱うかどうかの判断などです。
  • 公的記録は階層化されています。LastPass の企業アップデートは、インシデントの経緯と推奨アクションを説明しています。その後、英国情報コミッショナー事務局(ICO)は LastPass UK Ltd に対する執行資料を公開しました。和解ウェブサイトは、クラスアクションの救済手続きを説明しています。NIST、CISA、FTC のガイダンスは、製品が機密性の高い顧客の秘密を保持する場合に重要な管理策を説明しています。
  • このインシデントは、すべてのボールトが復号化されたことを証明するものではなく、責任ある分析はそう偽るべきではありません。しかし、暗号化されたバックアップの盗難は立証責任を変えるという点を証明しています。すなわち、ユーザーは暗号化パラメータ、マスターパスワードポリシー、メタデータの露出、検出のタイミング、プロバイダーのその後の改善が同じ障害パターンを減らすかどうかについての証拠を必要とします。
  • ボールトデータのインシデント後の信頼できる説明責任の記録は、プロバイダーが管理していたこと、顧客が管理していたこと、規制当局が発見したこと、和解が解決したこと、そして依然として不明なことを区別すべきです。その区別がなければ、「ゼロ知識」は、ユーザーが負担しなければならない実際のコストを隠すスローガンになる可能性があります。

インシデントが「暗号化」の意味を変えた

パスワードマネージャーは、特別な種類の信頼を呼び込みます。顧客は、単一のウェブサイトのパスワードを保存するだけではありません。顧客は、オンライン生活の記憶を保存します。すなわち、銀行のログイン、従業員アカウント、管理者コンソール、税ポータル、医療アカウント、家族サービス、ドメインレジストラ、支払いシステム、クラウドダッシュボード、API キー、リカバリーノート、そして時にはフィッシングを容易にする手がかりです。このようなボールトがコピーされた場合、最初の質問は、攻撃者がすべての秘密を即座に読み取るかどうかではありません。最初の質問は、コピーされたボールトが時間の経過とともに何を意味するかを誰が証明できるかです。

LastPass の2022年12月の企業通知Notice of Recent Security Incidentでは、不正な第三者が LastPass が使用するサードパーティのクラウドベースのストレージサービスにアクセスし、顧客ボールトデータのバックアップをコピーしたと述べました。LastPass は、これらのボールトには、ウェブサイトの URL などの暗号化されていないデータと、ユーザー名やパスワード、セキュアノート、フォーム入力データなどの暗号化された機密フィールドの両方が含まれていると説明しました。その後のアップデートSecurity Incident Update and Recommended Actionsでは、クラウドストレージへのアクセスが以前の開発環境のインシデントと関連していることを結びつけ、さまざまな顧客グループに対する推奨アクションを説明しました。

この事実パターンは、「暗号化」という言葉を必要としながらも不完全にします。暗号化は攻撃者の作業負荷を変えますが、データのコピーという結果を消し去るものではありません。顧客が強力で一意なマスターパスワードを使用し、ボールトが強力な鍵導出設定を使用していた場合、オフライン攻撃は非現実的かもしれません。顧客が弱いまたは再利用されたマスターパスワードを使用していた場合、古い導出設定を使用していた場合、またはローテーションされない高価値の秘密を保存していた場合、リスクは異なります。LastPass は、バックアップがコピーされた後、すべてのユーザーに対するそのリスクを決定することはできませんでした。ユーザーは、不確実性の下で自分のボールトの内容を解釈する必要がありました。

これが、このインシデントが単純な漏洩数問題ではなく、説明責任の問題である理由です。従来の漏洩通知は、多くの場合、どのフィールドが露出したか、どのような保護措置を取るべきかをユーザーに伝えます。ボールトバックアップのインシデントはより困難です。露出したオブジェクトは、顧客のオンラインアカウントの構造化されたマップであり、パスワードフィールドが暗号化されたままでも、攻撃者が標的を優先順位付けするのに役立つメタデータが含まれています。実用的な対応は、「1つのパスワードを変更する」ではないかもしれません。それは、「保存されているすべてのアカウントを見直し、重要な秘密を特定し、それらをローテーションし、リカバリーコードを交換し、多要素認証(MFA)を更新し、標的型フィッシングを監視し、攻撃者がコピーしたボールトを保持できるため、それを続ける」ことかもしれません。

LastPass 自身のサポートガイダンスは、顧客が差別化されたアクションを必要とすることを認識していました。無料、プレミアム、ファミリーのユーザー向けのサポートページとビジネス管理者向けのガイダンスは、コンシューマーと管理者の修復を分離しました。それは正しい方向でしたが、コスト転嫁の問題も露呈させました。ボールトのバックアップがプロバイダーの管理外に出た時点で、クリーンアップの多くは、自身のマスターパスワードの強度、保存された秘密、管理的な露出を理解しなければならない顧客にかかっていました。

したがって、説明責任のある質問は、「ボールトは暗号化されていたか?」よりも鋭いものになります。パスワード管理を販売するプロバイダーは、次に答えなければなりません。顧客はマスターパスワードの強度だけに頼らざるを得なかったのか?レガシーな鍵導出設定が存続することを許したのか?製品は、高価値の秘密を特定してローテーションすることを容易にしていたのか?通知は、メタデータ露出がフィッシングリスクをどのように変えるかをユーザーに伝えていたのか?ビジネス管理者は、指導層やユーザーにブリーフィングするための十分な証拠を受け取ったのか?プロバイダーは後に、同じクラウドストレージと開発環境の連鎖が再発しないことを証明したか?

最初の負担はボールト内の棚卸し

顧客の修復は、不愉快なタスクから始まります。安全に忘れ去られるはずだった秘密の棚卸しです。パスワードマネージャーは、ユーザーがすべての資格情報をもはや覚えていないときに成功します。その成功は、バックアップの盗難後には負担となります。ボールトには、数百または数千のエントリが含まれている場合があります。一部は低価値のアカウントです。一部は金融または管理アカウントです。一部は古い、無効、重複、または放棄されたものです。一部には、通常のパスワードよりも危険な API トークンやセキュアノートが含まれています。コピーされたボールトは、これらすべてを攻撃対象面に凍結します。

LastPass は、特にマスターパスワードが推奨される強度を満たしていない場合や、古いパスワードの反復回数が低い場合に、保存されたウェブサイトのパスワードを変更することを検討するよう顧客に指示しました。このアドバイスは技術的に合理的であり、実際的には困難です。ボールトに給与計算、銀行、クラウド管理、ドメインレジストラ、ソーシャルアカウント、ソフトウェアリポジトリ、個人アカウントが含まれている場合、ユーザーは単にすべての秘密を一度にローテーションすることはできません。優先順位付けがユーザーの仕事になります。

ビジネス顧客は、同じ問題のより困難なバージョンに直面しました。企業のボールトには、共有サービス資格情報、SaaS 管理者アカウント、緊急ブレークグラスパスワード、VPN シークレット、ソフトウェア展開キー、ベンダーポータルが含まれる場合があります。暗号化されたデータが計算上保護されたままであっても、組織はリスクが受け入れられないため、保存されたシークレットをローテーションすべきかどうかを決定しなければなりません。ビジネス管理者向けの推奨アクションの管理ページは、その負担を指し示しています。それは小さな運用タスクではありません。IT、セキュリティ、財務、エンジニアリング、法務、ビジネスオーナー間の調整が必要になる場合があります。

棚卸しの問題は、このインシデントが「顧客はより強力なマスターパスワードを使うべきだった」と言って終了できない理由です。顧客には、パスワードの強度に対する責任があります。しかし、プロバイダーは製品のデフォルト、パスワードポリシーのプロンプト、鍵導出の移行、メタデータの露出、クラウドバックアップアーキテクチャ、開発環境の分離、検出、通知の明確さを管理していました。もし設計が、リスクの高い修復を各ユーザーが暗号化と運用の詳細を解釈することに依存させているなら、プロバイダーはユーザーの行動を外部性として扱うことはできません。

NIST の現在の認証とライフサイクル管理のためのデジタルアイデンティティガイドラインは、記憶された秘密の品質をより広範な認証保証から分離しているため有用です。パスワードマネージャーは、顧客が弱い、再利用された、人間が記憶した秘密から遠ざかるのを助けるべきです。しかし、マスターパスワードは集中制御のままです。ボールトがコピーされた場合、マスターパスワードの品質は最後の防衛線になります。健全な設計は、一般ユーザーが自分の最後の防衛線が思ったより弱いことに気づくのが遅すぎる確率を減らすべきです。

ここでメタデータも重要になります。LastPass は、ウェブサイトの URL などの一部のフィールドが暗号化されていなかったと述べました。URL は、ある人が利用する銀行、雇用主、暗号プラットフォーム、医療ポータル、エンタープライズツールを明らかにする可能性があります。パスワードが暗号化されたままであっても、その情報は標的型フィッシングを促進する可能性があります。メタデータで見つかったサービスから、もっともらしいメッセージを受け取ったユーザーは、攻撃者がそのアカウントの存在を知っているため、より脆弱になる可能性があります。暗号化されていないメタデータのコストは、プライバシー損失だけではありません。それは攻撃者の優先順位付けです。

したがって、説明責任のある修復記録には、声明だけでなく、ユーザー向けのツールも含まれているべきです。顧客は、高価値のボールトエントリを迅速に特定できるか?管理者は、共有シークレット、古いパスワード、弱いマスターパスワードポリシー、古い鍵導出設定を見つけることができるか?プロバイダーは、以降のボールトがより強力なデフォルトを使用していることを証明できるか?メタデータの露出が最小化またはより良く保護されていることを示せるか?ユーザーは、シークレットを再度公開することなく、リスクレビューのための証拠パッケージをエクスポートできるか?

インシデントの経緯がクラウドストレージをパスワードセキュリティの一部にした

LastPass の2023年3月のアップデートは、二段階の経緯を説明しました。すなわち、初期の開発環境のインシデントと、その後のクラウドストレージ環境へのアクセスです。この経緯が重要なのは、パスワードマネージャーの説明責任が暗号化だけにとどまらないからです。製品はまた、ビルド環境、従業員のエンドポイント環境、クラウドバックアップシステム、資格情報チェーン、ロギングシステム、インシデントレスポンスプロセス、顧客通知操作でもあります。

公開アカウントは、脅威アクターが最初のインシデント中に得た情報を使用して、従業員を標的にし、クラウドストレージにアクセスしたと述べています。これが重要なのは、顧客がしばしば、パスワードマネージャーを通常の企業侵害から隔離された暗号化ボールトとして想像するからです。実際には、プロバイダーの企業セキュリティが依然として重要です。開発環境や従業員の侵害がクラウドバックアップアクセスにつながる可能性がある場合、エンドポイントセキュリティ、権限境界、クラウドキーの管理、監視がボールトセキュリティの話の一部になります。

CISA のSecure by Designの資料が関連するのはこの理由からです。顧客の秘密を保持するサプライヤーは、障害発生後に顧客が英雄的な解釈を行うことに依存しないようにサービスを設計すべきです。ユーザーは、シークレット管理の負担を軽減するはずの製品を購入します。製品のクラウドまたは開発環境がインシデント連鎖の一部になる場合、サプライヤーは、顧客に単により懸命に作業するよう指示するのではなく、設計変更によって負担が軽減されることを示さなければなりません。

CISA の安全な構成基準は一般的ですが、同じ説明責任構造を指し示しています。特権アクセス、構成、ロギング、強化、変更管理は、セキュリティ成果の一部です。パスワードマネージャープロバイダーは、その規律を自社のクラウドストレージと従業員アクセスに適用しなければなりません。ユーザーは、プロバイダーの内部クラウドキー、バックアップ権限、開発者エンドポイント管理を検査することはできません。プロバイダーがそれらの事実を管理しています。

その非対称性が証明義務を生み出します。顧客はパスワードを変更できます。しかし、クラウドストレージの権限が広すぎたかどうか、ログが完全だったかどうか、標的にされた従業員に不必要なアクセスがあったか、シークレットがセグメント化されていたか、プロバイダーのその後の管理策が有効であったかどうかを独立して検証することはできません。LastPass のサポートページLastPass が安全に使用できるように講じた措置は、セキュリティ改善を説明しています。これらの主張は重要ですが、説明責任の問題は、顧客、規制当局、監査人がそれらをテストできるかどうかにかかっています。

英国情報コミッショナー事務局(ICO)は、後に1つの外部説明責任層を提供しました。LastPass UK Ltdの執行ページ、ICO の発表パスワードマネージャープロバイダーに罰金、および罰金通知 PDFは、英国の範囲内での規制当局の理由を示しています。この記事は、それをすべての LastPass エンティティやすべての顧客に関する世界的な判断に誇張すべきではありません。しかし、それは公的記録が企業の安心感で終わらなかったことの証拠です。

規制上の発見は、分析をスローガンから遠ざけるため、特に有用です。「ゼロ知識」は、暗号設計上の主張を表します。それは、バックアップアクセスが適切に管理されていたか、顧客メタデータが最小化されていたか、セキュリティ対策が適切であったか、顧客が行動を起こすのに十分な警告を受け取ったかには答えていません。規制当局は、各ユーザーのマスターパスワードを知ることができず、知るべきではないとしても、これらの質問をすることができます。

和解記録は完全な修復ではなく救済を示す

このインシデントは和解の流れにも移行しました。米国のLastPass Data Security Incident Litigation 和解サイトとカナダのLastPass 和解サイトは、救済とクレームプロセスの文脈を提供しています。これらが重要なのは、技術的なインシデントがどのように補償と通知のプロセスになるかを示すからです。これらは、すべての顧客損失が既知であることや、和解が技術的修復と等しいことの証明として扱われるべきではありません。

和解は、多くの場合、被害を資格のあるクラス、期限、クレームカテゴリ、支払い計算式に単純化します。それは管理上必要ですが、ボールトデータのリスクは、クレームの期限によってきれいに制限されません。コピーされたボールトが攻撃者の手中にオフラインで残る場合、露出は攻撃者がクラッキングを試みるかメタデータを使用できる限り続く可能性があります。ユーザーは一部のパスワードをローテーションしても、古いアカウントを見逃すかもしれません。企業は共有パスワードをローテーションしても、セキュアノート内の API キーを見逃すかもしれません。暗号通貨ユーザーは、ボールトに保存されたシードフレーズを通じて損失を被るかもしれませんが、帰属が難しいかもしれません。救済と修復は関連していますが、同じではありません。

この区別は説明責任にとって重要です。企業は訴訟を和解させ、規制上の罰金を支払い、セキュリティ改善を公開する一方で、ユーザーは依然として残存する運用リスクを負うことができます。責任ある公的記録は、各メカニズムが何を解決するかを示すべきです。和解は請求に対応できます。執行命令は、管轄区域内で制裁を加えたり管理策を要求したりできます。企業の修復プログラムは、製品と企業セキュリティを変えることができます。顧客のローテーションプログラムは、将来の露出を減らすことができます。これらのメカニズムのいずれも、自動的に他を証明するものではありません。

FTC のビジネスガイダンスデータセキュリティは、この点を枠組みづけるのに役立ちます。機密データを収集または保持する組織は、合理的な保護を構築し、アクセスを制限し、インシデント対応を計画すべきです。パスワードマネージャープロバイダーのデータは、他のデータへのゲートウェイであるため、非常に機密性が高いです。その義務は、自社のアカウントシステムを保護するだけではありません。無関係なアカウントが危険にさらされる経路の乗数になることを避けることです。

NIST SP 800-53 Rev. 5、情報システムおよび組織のセキュリティとプライバシー管理策は、ここで関係する管理策の語彙を提供します。アクセス制御、監査と説明責任、構成管理、インシデント対応、リスク評価、システムおよび通信保護、サプライチェーンリスク管理です。パスワードマネージャーのインシデントは、これらの多くに触れます。それが、修復記録を1つの顧客指示に集約すべきでない理由です。

和解記録はまた、情報問題を明らかにします。多くの顧客は、技術的事後分析、規制罰金通知、和解通知を並べて読むことは決してありません。彼らは断片を受け取ります。すなわち、プロバイダーからのメール、ニュースの見出し、弁護士が運営するクレームサイト、場合によってはセキュリティチームのメモです。プロバイダーの最初の通知が曖昧であれば、顧客はローテーションが不足したり過剰になったりする可能性があります。和解通知が狭ければ、顧客はインシデントを財務的に終了したと扱うかもしれません。規制当局の発見が数年後に届く場合、予防のための実際的な窓は過ぎ去っているかもしれません。

良い説明責任は、これらの断片をより容易に調整できるようにします。プロバイダーは、どのデータがコピーされたか、何が暗号化され、何が暗号化されていなかったか、どの顧客がより高いリスクにさらされるか、どの技術設定が重要か、企業が何を変えたか、ユーザーがまだ何をする必要があるか、どのような不確実性が残っているかを述べるべきです。規制当局は範囲を守り、その管轄権が確立している以上を示唆することを避けるべきです。和解管理者は、救済文言をセキュリティ保証から分離しておくべきです。顧客は、散在する通知から管理のストーリーを推測する必要があってはなりません。

マスターパスワードがガバナンスオブジェクトになった

通常の使用では、マスターパスワードはプライベートな資格情報です。暗号化されたボールトバックアップの盗難後は、ガバナンスオブジェクトになります。その長さ、一意性、導出設定、経過年数、再利用履歴、フィッシングによる露出が、コピーされた秘密の周りにどれだけの保護が残るかを決定します。それは、プロバイダーがマスターパスワードを管理することを意味しません。それは、プロバイダーがユーザーが選択、更新、理解する環境を管理することを意味します。

「ユーザーは強力なパスワードを選ぶべきだ」という言葉は真実であり、不十分です。消費者向け製品は、デフォルト、プロンプト、警告、アップグレードパス、摩擦を中心に設計されています。ユーザーがインシデントの何年も前に LastPass アカウントを作成した場合、製品はそれ以降進化している可能性があります。ユーザーは、自分の鍵導出設定が現在の推奨事項と一致しているかどうかを知らないかもしれません。バックアップ盗難後にマスターパスワードを変更することが、コピーされた古いボールトを保護するかどうかを知らないかもしれません。どの保存された秘密が最も緊急であるかを知らないかもしれません。プロバイダーは、これらの決定に関する教育とツールを管理しています。

LastPass の推奨アクションページは、ユーザーにマスターパスワードの強度を検討し、必要に応じて保存されたウェブサイトのパスワードを変更するよう求めました。そのガイダンスは必要です。しかし、より強力な製品説明責任アプローチは、ボールトリスクを分類するのに役立つでしょう。例えば、金融または管理ドメインを持つエントリ、共有ビジネスシークレット、キーを含む可能性のあるセキュアノート、再利用されたパスワード、古いパスワード、多要素認証(MFA)のないアカウントを特定することができます。また、古い暗号化バックアップがコピーされた後に、マスターパスワード変更が何をもたらし、何をもたらさないかを説明することもできます。ユーザーが暗号の専門用語を理解する必要なく、導出設定の状態を見えるようにすることもできます。

NIST のSP 800-63B ウェブ版は、現代の認証ガイダンスが、パスワードセキュリティが複雑さのルールだけではないことをますます認識しているため有用です。使いやすさ、漏洩パスワードスクリーニング、フィッシング耐性、多要素認証(MFA)、ライフサイクル管理が重要です。パスワードマネージャー製品は、その教訓を具現化すべきです。人間のエラーを減らすべきであり、単にユーザーに、稀ではあるが影響の大きい障害モードを完全に理解する責任を負わせるべきではありません。

説明責任のポイントは、顧客に責任がないということではありません。「password123」をマスターパスワードとして使用する顧客は、ローカルリスクを生み出します。ローテーション規律なしに本番のルートシークレットを保存する企業は、ローカルリスクを生み出します。しかし、弱い設定を存続させたり、暗号化されていないメタデータを保存したり、従業員の侵害の連鎖を通じて到達可能な方法でクラウドバックアップアクセスを設計したりするプロバイダーも、害の一部を管理しています。成熟した説明責任は、両方の真実が存在することを許容します。

同じ論理がエンタープライズ管理者にも当てはまります。セキュリティチームは従業員に多要素認証(MFA)を要求したかもしれませんが、ボールト自体は、まだ強力な認証に移行していないシステムのためのシークレットを保持しているかもしれません。コピーされたボールトには、ベンダー、共有アカウント、ローカルデバイス、古いクラウドリソース、緊急アカウントの資格情報が含まれているかもしれません。一部のサービスは壊れやすく、一部の所有者は去り、一部の資格情報はスクリプトに埋め込まれているため、それらをローテーションすることは遅いかもしれません。顧客はその労働を負いますが、プロバイダーの通知の質が、労働が迅速かつ正確に始まるかどうかを形成します。

メタデータがフィッシングをインシデントの一部にした

暗号化されていない URL フィールドは、しばしば受けるよりも多くの注目に値します。URL はパスワードよりも機密性が低いように見えるかもしれませんが、ユーザーのアカウントグラフを露出させます。それらは、ある人が特定の銀行、暗号通貨取引所、雇用主ポータル、学校システム、医療提供者、クラウドダッシュボード、給与計算サービス、開発プラットフォームを使っていることを示すことができます。そのマップは、パスワードフィールドが暗号化されたままであっても、フィッシングに使用できます。

ボールトに銀行の URL、税務当局の URL、クラウドコンソールの URL、ドメインレジストラの URL が含まれているユーザーを想像してみてください。そのメタデータを持つ攻撃者は、個人的に感じるメッセージを作成できます。そのメッセージは、ユーザーが実際に使用しているサービスを名指しすることができます。漏洩後のローテーション不安を中心に誘惑のタイミングを計ることができます。セキュリティのフォローアップを装うことができます。したがって、コピーされたボールトは、クラッキングの対象であるだけではありません。それは標的化ガイドです。

プロバイダーの責任は、単に URL の機密性が低いと言うことではありません。メタデータが何を可能にし、ユーザーがそれに対して何をすべきかを説明することです。強力な顧客ガイダンスは、標的型フィッシング、偽のセキュリティメール、緊急のマスターパスワードリセットの誘惑、サービス固有のメッセージについて警告すべきです。リンクをたどるのではなく、サービスに直接移動するようユーザーに伝えるべきです。企業に対して、ヘルプデスクやセキュリティ運用チームに、ボールトメタデータに基づくフィッシングについてブリーフィングするよう助言すべきです。

これは、インシデントが不正利用連絡先の経済学と重なる部分です。攻撃者が顧客が使用するサービスを知っている場合、それらのサービスのサポートデスクや不正利用チームは、より多くの乗っ取り試行、復旧リクエスト、詐欺報告を受け取る可能性があります。LastPass の顧客だけが影響を受ける当事者ではありません。銀行、クラウドプロバイダー、レジストラ、暗号プラットフォーム、雇用主は、彼らのアカウントがコピーされたボールトに記載されていたためにリスクを継承する可能性があります。修復のコストは、パスワードマネージャーの契約を超えて広がります。

その広がりを測定することは困難です。後のアカウント乗っ取りは、弱い再利用パスワード、ボールトメタデータを使用したフィッシング、無関係な侵害、マルウェア、または通常のソーシャルエンジニアリングによって引き起こされる可能性があります。すべての下流の損失を帰属できないことは、リスクがなかったことを意味しません。それは、コピーされたボールトが、その結果を公的に閉じるのが難しい長期的な露出面を生み出したことを意味します。

説明責任の基準は、その不確実性を認めるべきです。プロバイダーは、暗号化がメタデータの害を取り除くことを示唆すべきではありません。顧客は、将来のすべてのフィッシング試行がボールトから来たと想定すべきではありません。規制当局は、発見したことについて正確であるべきです。アナリストは、メタデータが暗号化されないままでいる必要があった理由や、設計上の代替案が可能だったかどうかを依然として問うべきですが、残余の不確実性を保持すべきです。

信頼できる修復パッケージに含まれるべきもの

LastPass の記録は、ボールトバックアップインシデントの後に、より強力な修復パッケージに何が必要かを示しています。第一に、攻撃者がどのようにしてある環境から別の環境へ移動したか、そしてどの管理策がその経路を阻止できなかったかを説明するタイムライン。第二に、暗号化されたシークレット、暗号化されていないメタデータ、アカウント情報、請求情報、管理記録を分離するデータマップ。第三に、マスターパスワードの強度、導出設定、保存されたシークレットのカテゴリ、ビジネス利用に基づいて、どのユーザーがより高いリスクに直面するかを説明する顧客リスクモデル。

第四に、プロバイダーは正確な顧客アクションを公開すべきです。消費者は優先順位が必要です。すなわち、マスターパスワード、高価値の金融アカウント、メールアカウント、クラウドアカウント、パスワードの再利用、多要素認証(MFA)、リカバリーコード、フィッシングへの警戒です。ビジネス管理者は異なる順序が必要です。すなわち、共有シークレット、管理者アカウント、サービスアカウント、API トークン、セキュアノート、ブレークグラスアカウント、ボールトポリシー、ユーザーコミュニケーション、監査証拠です。第五に、プロバイダーは、より多くのシークレットを公開することなく、顧客がこの作業を実行するのに役立つツールを提供すべきです。

第六に、プロバイダーは内部で何が変わったかを説明すべきです。LastPass の「講じた措置」ページはその記録の一部ですが、強固な説明責任パッケージは測定可能でなければなりません。どのアクセス経路が削除されたか?どのクラウドストレージ管理策が変更されたか?どの従業員アクセスポリシーが変更されたか?どの監視ギャップが解消されたか?どの外部監査や認証がこれらの主張を裏付けるか?新規ユーザーだけでなく、既存ユーザーに対してどの製品デフォルトが変更されたか?

第七に、プロバイダーは外部の調査結果や和解が重要な事実を追加する場合、問題を再開すべきです。ICO の罰金通知と和解ウェブサイトは、最初のインシデント通知から何年も経ってから届きました。2022年や2023年に行動した顧客は、後の法的進展を自身の残余リスクに結びつけていないかもしれません。信頼を求める企業は、顧客が後の発見が実際的な推奨事項を変えるかどうかを理解するのを助けるべきです。

第八に、プロバイダーは不明なままのことを説明すべきです。直感に反するように聞こえますが、不可欠です。顧客は、証明できないことを知っていれば、より良い決定を下すことができます。例えば、プロバイダーは特定のボールトがクラッキングされたかどうかを知らないかもしれません。保存されたパスワードが他の場所で再利用されたかどうかを知らないかもしれません。顧客がすべての重要なシークレットをローテーションしたかどうかを知らないかもしれません。メタデータがフィッシングに使用されたかどうかを知らないかもしれません。それを平易に述べることは、終結を示唆するよりも有用です。

タイポグラフィノート

タイポグラフィとは、書かれた言語を読みやすく、判読しやすく、視覚的に魅力的にするために、文字を配置する技術および手法です。これには、書体、ポイントサイズ、行の長さ、行間、文字間隔の選択が含まれます。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクによって活版印刷が発明されたことに端を発します。
  • 主要な要素には、フォントの選択、カーニング、トラッキング、リーディングが含まれます。
  • 優れたタイポグラフィは、読みやすさを向上させ、デザインに雰囲気やトーンを伝えます。

残留する未知と説明責任の問い

公的記録は、コピーされたすべてのボールトが復号化されたことを証明していません。すべての顧客が詐欺に遭ったことを証明していません。後に発生した LastPass ユーザーに関連するすべてのアカウント乗っ取りがこのインシデントから来たことを証明していません。また、暗号化が害を排除したことも証明していません。これらの声明はすべて同時に真であり得ます。

説明責任の問いは、不確実性を高価にした条件を誰が管理していたかです。LastPass は、クラウドストレージアーキテクチャ、従業員のアクセス経路、検出、通知文言、製品のデフォルト、鍵導出の移行、メタデータ設計、顧客修復ツールを管理していました。顧客は、マスターパスワードの強度、保存されたシークレットの衛生、多要素認証(MFA)の採用、ローテーション行動、ビジネスボールトガバナンスを管理していました。規制当局は、執行範囲と公開調査結果を管理していました。裁判所と和解プロセスは、救済経路を管理していました。依存するサービスは、独自のアカウント復旧、詐欺検出、フィッシング耐性を管理していました。

いずれかの当事者の義務が他を打ち消すことはありません。弱いマスターパスワードは重要です。クラウドバックアップアクセスも同様です。重要なシークレットを決してローテーションしない顧客はリスクを負います。混乱させる通知を通じてユーザーが自分のリスクを発見するようにさせるプロバイダーもリスクを負います。規制当局の罰金は障害を明確にすることができます。それはユーザーの古い API キーをローテーションすることはできません。和解は一部の請求者に補償できます。それはコピーされたオフラインボールトを消滅させることはできません。

有用な教訓は、パスワードマネージャーが単なる暗号化製品ではないということです。それはリスク配分製品です。プロバイダーがより安全な保管と管理方法を構築したので、ユーザーがシークレットを集中化できると伝えます。その集中保管がコピーされた場合、プロバイダーは暗号化を引き合いに出す以上のことをしなければなりません。ユーザーが残された実際の作業を理解するのを助け、その作業の労力を減らし、自身の側の連鎖が変わったことを証明しなければなりません。

このインシデントは購入者にも挑戦を突きつけます。パスワードマネージャーを採用する前に、企業はプロバイダーがバックアップをどのように保存するか、どのメタデータが暗号化されるか、古いアカウントに対する鍵導出の変更がどのように処理されるか、管理ボールトが高価値の秘密を分類できるか、緊急ローテーションツールが存在するか、深刻なインシデント後にプロバイダーがどのような証拠を提供するかを問うべきです。消費者は強力で一意なマスターパスワード、多要素認証(MFA)、定期的なボールトの衛生管理を使用すべきです。しかし、これらの実践は、欠けている透明性を補うのではなく、プロバイダーの管理策を補完すべきです。

LastPass 後の強力な終結記録は次のように述べるでしょう。すなわち、コピーされたボールトは理解されている、より高いリスクの顧客が特定され誘導された、メタデータリスクが説明された、レガシー設定が移行または強調された、ビジネス管理者が証拠を受け取った、クラウドストレージと従業員アクセスの管理策が変更された、外部レビューがこれらの変更を裏付けている、規制上の発見が対処された、そして残余の不確実性が見えている。それ以下では、負担の多くがユーザーに残ります。

これが、LastPass がコスト転嫁の説明責任ケースであり続ける理由です。コピーされたデータは暗号化されていたかもしれませんが、作業は暗号化されていませんでした。作業は、家庭、セキュリティチーム、ヘルプデスク、銀行、クラウドアカウント、顧客がパスワードマネージャーに記憶させると信頼した古いウェブサイトへと移りました。説明責任は、その作業がどこに着地したかを認めることから始まります。

ボードへの教訓は測定可能な負担

パスワードマネージャーのリスクを評価する取締役会や経営陣は、ベンダーがボールトは暗号化されていると言うかどうかだけを問うべきではありません。彼らは、暗号化されたボールトバックアップがコピーされた場合、どの程度の運用負担が発生するかを問うべきです。特権エントリはいくつ存在するか?ローテーションが必要なサービスアカウントはいくつか?どのセキュアノートにキー、リカバリーコード、顧客の秘密が含まれているか?企業は最もリスクの高いボールトエントリ10件をどれだけ早く特定できるか?プロバイダーはそのプロセスを助けるか妨げるのに十分なメタデータを公開しているか?契約は使用可能なインシデント証拠を要求しているか?

これはアンチパスワードマネージャーの論理ではありません。逆です。パスワードマネージャーは、パスワードの再利用を減らし、より強力なシークレットをサポートし、ガバナンスを集中化できます。教訓は、集中化は集中化された証拠義務を生み出すということです。製品が顧客のデジタルライフの地図を保持するなら、プロバイダーはその地図をより安全にし、バックアップ経路をより到達しにくくし、インシデント後の修復経路をより明確にしなければなりません。

顧客も内部のプレイブックが必要です。プレイブックは、パスワードマネージャーのボールトがコピーされた場合の対応方法を定義すべきです。すなわち、新たな共有シークレットの追加を凍結し、最初にメールと ID プロバイダーの資格情報をローテーションし、管理者アカウントと金融アカウントを優先し、セキュアノート内の API キーを交換し、多要素認証(MFA)のリカバリー方法を見直し、標的型フィッシングについてユーザーにブリーフィングし、高価値のアカウントを監視し、未解決の例外を文書化します。その作業は、公的な漏洩通知の最中に考案することはできません。

LastPass の記録は、多くの組織が依然として集中化された秘密管理へと移行しつつあるため、引き続き重要です。彼らがそうするのは正しいことですが、集中化には、より強力なデフォルト保護とより良い出口証拠が伴わなければなりません。顧客は、コピーされたボールトが何を意味するかを理解するために、暗号学者、クラウドエンジニア、漏洩弁護士である必要はありません。パスワードの混沌からの解放を売るプロバイダーは、最悪のタイミングで混沌をユーザーに返すべきではありません。

調達はインシデント前の証拠を要求すべき

調達の教訓は実用的です。組織はしばしば、ブラウザサポート、共有制御、シングルサインオン、管理者ポリシー、モバイルアプリ、インポートツール、価格、ユーザーエクスペリエンスなどの機能を比較してパスワードマネージャーを購入します。これらの機能は重要です。しかし、暗号化されたボールトバックアップの盗難後にセキュリティチームが直面する問いに答えていません。すなわち、プロバイダーは顧客が行動を起こせるように十分早くどのような証拠を提供するのか?その証拠は、インシデント前に調達の一部となるべきであり、顧客が漏洩通知を読みながら交渉するものではありません。

真剣な購入者は、サンプルのインシデント証拠パッケージを要求すべきです。それには、プロバイダーが影響を受けるデータクラス、暗号化の境界、メタデータの露出、マスターパスワードポリシー、鍵導出状態、管理ボールトリスク、クラウドストレージアクセス、従業員アクセス経路、顧客固有の修復について何を開示するかを示すべきです。プロバイダーが、どのユーザーが古いセキュリティ設定を持っているか、どの共有フォルダに特権アカウントが含まれているか、どのエントリに API キーやリカバリーコードが含まれている可能性が高いか、どの管理者が最初に行動を起こす必要があるかを特定できるかどうかを示すべきです。プロバイダーが落ち着いた状況でそのサンプルを示せない場合、顧客は危機の間に明確さを期待すべきではありません。

契約も協力を定義すべきです。ビジネス顧客は、ログ、タイムスタンプ、影響を受けるユーザーのリスト、構成状態、法的通知、規制当局向けの文言を必要とするかもしれません。プロバイダーがブログ投稿を公開するだけでなく、一括ローテーション計画をサポートする必要があるかもしれません。事業者は、サポートページの推奨アクションが自社のテナント、ポリシー設定、ユーザー集団に適用されるという証拠を必要とするかもしれません。プロバイダーはすべての内部フォレンジック詳細を公開できるとは限りませんが、どのような顧客固有の事実をいつ共有するかを定義することはできます。

同じ調達記録は、集中度をテストする必要があります。一つの製品にシークレットを集中化する企業は、どのビジネスプロセスがその製品の可用性と信頼に依存しているかを知るべきです。ボールトが利用できない場合、管理者はそれでも緊急の資格情報をローテーションできるか?プロバイダーが顧客に高価値のシークレットをローテーションするように指示した場合、顧客にはそれらのシークレットの所有者がいるか?一部のボールトエントリが退職した従業員や買収した事業ユニットに属する場合、誰がリスク決定を下せるか?セキュアノートに文書化されていない本番キーが含まれている場合、組織はボールトレビューを別の露出に変えることなく、どのようにそれらを見つけるか?

これらは理論上の質問ではありません。これらは、ボールトデータのインシデントが管理可能なセキュリティプロジェクトになるか、何ヶ月にもわたる宝探しになるかを決定します。クリーンなシークレット所有権、強力なマスターパスワードポリシー、多要素認証(MFA)、最新の導出設定、文書化されたローテーション手順を持っていた LastPass の顧客は、ボールトをあらゆるシークレットの未分類の引き出しとして使用した顧客よりも、より良い立場にいました。しかし、プロバイダーは依然として、デフォルト、警告、管理者レポート、製品設計を通じて、これらの条件を形成する役割を担っていました。

規制当局にとって、調達の角度は、セキュリティの主張を市場の行動に結びつけるため重要です。ベンダーが主に利便性で競争し、測定困難な残余リスクを顧客に押し付けるなら、事後の執行は常に遅れて到着します。より良い市場は、インシデント証拠を製品の一部にするプロバイダーを報います。可能な限り暗号化されたメタデータ、明確なセキュリティ設定ダッシュボード、テナントレベルのリスクレポート、テスト済みのローテーションワークフロー、顧客が実際に使用できる独立した保証です。これは、すべての内部アーキテクチャの詳細の公開を必要としません。顧客が受け入れるよう求められているリスクを管理するのに十分な証明を必要とします。

したがって、最終的な説明責任の尺度は、単一の罰金、和解、サポート記事ではありません。それは、この記録のために、次の購入者がより良い質問をすることができ、次のプロバイダーが安心感ではなく証拠を持ってそれに答えられるかどうかです。

タイポグラフィ

タイポグラフィとは、書かれた言語を読みやすく、判読しやすく、視覚的に魅力的にするために、文字を配置する技術および手法です。これには、書体、ポイントサイズ、行の長さ、行間、文字間隔の選択が含まれます。

  • タイポグラフィは、15世紀にヨハネス・グーテンベルクによって活版印刷が発明されたことに端を発します。
  • 主要な要素には、フォントの選択、カーニング、トラッキング、リーディングが含まれます。
  • 優れたタイポグラフィは、読みやすさを向上させ、デザインに雰囲気やトーンを伝えます。