私たちは、MakeUseOfのパスワードマネージャーの大ファンなのです。これらは、あなたの生活を楽にし、多くのプロセスをスピードアップし、セキュリティを向上させます。しかし、パスワードの機密情報を一箇所に集めておくことは、危険なことでもあるのです。

事例：エンタープライズグレードのシングルサインオンとパスワード管理アプリケーションのメーカーであるOneLoginは、2017年5月31日にハッキングされました。これは本当に悪いニュースだ。何が起きたのか、何をすべきなのか、そして私たちが学べることは何なのかをご紹介します。

oneloginで何が起こっているのか？

以下は、OneLoginのコメントです。

"脅威者は、当社のAWSキーの1つを使用して、米国内の別の、**すべてのサービスプロバイダの中間ホストからAPIを介して当社のAWSプラットフォームにアクセスした..."

どういう意味ですか？誰かがOneLoginの機密データを見ていることを意味します。ほとんどのデータは暗号化されていますが、OneLoginは攻撃者が少なくともその一部を復号化できたと考えています。

OneLoginの技術者は侵入を検知すると、侵入されたシステムをシャットダウンしました。しかし、残念ながら、侵入を検知したのは侵入が始まってから7時間後だったという。それは、機密データを踏みつけるには長い時間です。

攻撃者はどのようなデータにアクセスできるのか？

"脅威者は、ユーザー、アプリ、様々な種類のキーに関する情報を含むデータベーステーブルにアクセスすることができました。"

このリストの正確な範囲はまだ明らかではありませんが、多くの機密事項が含まれていることは確かです。

OneLogin社は、この件に関して非常に率直な態度を示しています。同社は、ウェブサイトに最新のブログ記事を掲載し、攻撃についてお客様と連絡を取り合い、アドバイスを提供しています。今のところ、何が起こったのか混乱している様子はない。(攻撃の深刻さを少しは見くびっていたかもしれないが)。

oneloginを使用する場合に必要なこと

OneLoginはすぐに、ユーザーが攻撃の影響を軽減するためのガイドを公開しました（レジストリは、非顧客向けにこのリストも公開しています）。このリストには、パスワードのリセット、新しい認証トークン、セキュリティコメントの削除など、技術的な、管理者レベルの提案が多く含まれています。

しかし、OneLoginのユーザーであれば、パスワードを変更し、認証トークンを更新するという、よりシンプルな行動を取ることができます。これは時間がかかりますが、誰かがあなたのアカウントに保存されているすべてのものにアクセスできる可能性が非常に高いので、行う価値があります。マスターパスワードの変更、アプリケーションのパスワードの変更、OneLoginに保存されているすべてのものを変更します。

セーフティノートを捨てる

確かに悪いことですが、攻撃者に重要なサービスを乗っ取られる（あるいはもっと悪いことに、身代金を要求される）よりずっとましです。

oneloginハックから学べること

シングルサインオン（SSO）とパスワード管理会社は、セキュリティ脅威と無縁ではいられないということです。これらの企業は、お客様にとってセキュリティが重要であること、そして多くの貴重な情報を保有していることを理解しています。

でも、悪いことはいつも起こる。このケースでは、攻撃者がOneLoginにアクセスするためのAPIキーは、「米国にある別の小規模なサービスプロバイダーの中間ホスト」から発信されたものでした。OneLoginのセキュリティに対する取り組みにもかかわらず、他社の欠陥によって攻撃者がアクセスする可能性があったのです。

残念ながら、どの企業もハッカーに強いとは言えません。パスワード管理会社やSSO会社は、セキュリティに非常に真剣に取り組んでおり、一般的に良い仕事をしています。でも、これは当たり前のことなんです。

このようなサービスを利用する際の注意点をご紹介します。

すべてを一か所に集めるのは悪手

もちろん、パスワード管理アプリケーションにパスワードを保管したいのは当然ですが、そのアプリケーションをすべての機密情報の保管場所にすべきでしょうか？

例えば、銀行口座の詳細や自宅のWi-Fiパスワードなどを保存するために、LastPassの安全な付箋を使うのは簡単です。しかし、このサービスがハッキングされると、今度はもっと問題が出てきます。すでにクレジットカードの情報が保存されている場合があります。しかし、さらにいくつかの重要な情報を追加すれば、個人情報の盗難はより容易になります。

SplashIDのようなクラウドに情報を保存しない別の暗号化サービスの利用や、パソコン上のフォルダのみを暗号化してパスワードで保護することもご検討ください。利便性は若干劣りますが、侵入された場合の難易度を大幅に下げることができます。

シングルサインオンについてよく考えてみよう

シングルサインオンは、多くの時間を節約し、パスワードを最小限に抑えることができるので、とても便利です。(正直、自分でも使っています）。

より安全な方法として、各ウェブサイト用のメールアドレスでアカウントを開設するだけでもよいでしょう。パスワードマネージャーを使用している場合は、これは簡単です。OAuthや類似のワンクリックログインほど簡単ではありませんが、より安全であることは間違いありません。

公正を期すために、セキュリティの実践としてシングルサインオンの使用を奨励する人々もいます。

重要なサービスには2ファクタ認証を使用する

二要素認証については数え切れないほど説明してきましたが、もしよく知らないのであれば、二要素認証についてすべて読み、どのサービスが使用できるかを確認してください。そして、電源を入れる。

2ファクタ認証を使用すべきサービスは？要するに、できるだけ多く。メール、銀行、クラウドストレージなど、あなたの最も重要なサービスは、間違いなくそれによって保護されているはずです。それ以外はすべておまけです。今すぐやる

常にシャープであること

OneLoginのユーザーは、「100％安全なサービスはない」という厳しい教訓を得ました。特に過酷なレッスン方法ですが、長い目で見れば、それがベストなのでしょう。OneLoginユーザーであれば、すぐにでも復旧させるべきです。そうでない人は、ラッキーだと思い、自分の身に降りかからないように対策してください。

OneLoginのハッキングの被害に遭われた方はいらっしゃいますか？パスワードマネージャーやシングルサインオンアプリケーションについて考え直すきっかけになりましたか？以下のコメントであなたの考えを共有してください。