2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ~当初想定より深刻
これを読んでいてあらためて「セキュリティに絶対はない」という事を感じました。
ハッキングは外部からではなく、「内部による情報漏洩」が一番怖いですし、公表はないものの今回の件はその可能性を否定できないと思います。
いくら高度な暗号化を施されていても、それを解く手段が会社にあったなら、簡単に複合化されてしまいます。
また、いくら開発環境と顧客のデータセンターは分かれているといっても、会社が管理しているデータサーバーであれば開発者が顧客のデータをアクセスするバックドアなりなんなりはあるのが普通です。(なければ障害を復旧することもできない)
で、あれば、高度なセキュリティ情報を持ったスタッフがその気になれば、なんだって出来てしまう状況がそこにあった、とも言えることになります。
自分が作った パスワード管理アプリ「mi: pass」 についてはどうなんだ、という話もあるので、そのへんも真面目に語っておきます。
mi: pass にデータサーバーはない
個人管理なんで当然ですが、データサーバーは今の所 Google Cloud 一択なので、私が皆さんのデータを閲覧する機会は絶対にありません。
あるとすれば Google スタッフには権限があるでしょうか。
ただし、mi: pass のデータは暗号化されたものが置かれているだけなので、Google スタッフが入手したところで複合は難しいでしょう。
情報共有のためのクラウドは、今後のバージョンアップで選べるようにしていきたいと考えています。
One Cloud とか。FTP……はセキュリティリスク高いから対応しない方がいいか……。
開発したのは私一人
開発したのは私一人であり、ソースコードを GitHub に置くような危険な事もしていません。
ソースコードが盗まれる危険性は LastPass にくらべて遥かに低そうです。
暗号化されていないクレジットカード情報にアクセスされた形跡
LastPass については、そもそもそんなクリティカルな情報をなぜ持っていたのかがわかりませんが(年間支払いのカード情報、とかでしょうか……)、mi: pass はフリーソフトなのでその辺必要ありません。
もし一部を有料化したとしても個人で顧客情報の管理など考えたくもありませんし、カード情報を保管することは永久にないでしょう。
開発者に悪意があったら
開発者である私に悪意があったら、というリスクはあるでしょう。
自分で言うことか?
もし自分が「ユーザー(使う側)」であれば、それは考慮すべき重要なポイントです。
私が公開しているアプリは Google Cloud にのみユーザーデータを共有しており、私からユーザーデータを見ることも盗むことも出来ない、というのが唯一信用に値するポイントでしょうか。
反面、どんな大規模な会社であろうとその会社が管理しているサーバーにデータが置かれている場合、そのデータを(会社に)覗かれるリスクはゼロにならない、という事には気をつけましょう。
私はその不安がどう頑張っても消せなかったため、自分でアプリを開発したのです。
今後も、大手が管理する便利なパスワード管理アプリが出てくると思います。
それが便利で、みんなが使うようになればなるほどその情報は価値が高まり、高まるほど犯罪に手を染めてしまうスタッフがいる……。
パスキーのような、生体認証のみに特化するのであれば個人的に期待ですね。
ただ、全ての認証に使えるようになるかといえば難しいと思います。
銀行の暗証番号は未だに4桁の数字です。
変えるチャンスはいくらでもあったのに変えない。これは今後のパスワード認証についても同様でしょう。
パスワード管理はもっともクリティカルな情報を管理するアプリです。
メールや写真などとは比較にならないほどの重要なデータを管理されている、という意識を必ず持つようにしましょう。
無料だし、大手だから安心でしょ、程度の考えはとても危険ですので、一人一人がアプリをよく理解した上でご使用されることをお勧めします。
といってもまぁ……どんなパスワードアプリもいいことしか書いてないんですけどね!
銀行の情報なんかは、紙のほうが安全だよ!
