anonym.legal

By · Last updated 2026-03-17

ブログに戻るテクニカル

LastPassの侵害が企業に教えるべきクラウドベンダーセキュリティの教訓

LastPassはユーザーのデータを暗号化しましたが、ボールトは依然として流出しました。60万件以上のOktaの記録が続きました。SaaSセキュリティインシデントは2022年から2024年にかけて300%増加しました。企業が学んでいない教訓。

March 17, 20268 分で読めます
LastPass breach lessonsSaaS vendor securitycloud vendor riskenterprise securityzero-knowledge architecture

クラウドセキュリティの常識を変えた侵害事件

2026年版に更新済み

2022年のLastPass侵害事件は、主にパスワードマネージャーの話ではありません。信頼の話です。企業は機密データをクラウドベンダーに委ねました。その信頼は裏切られました。無謀さからではなく、見えない欠陥によってです。

LastPassはゼロ知識設計を販売していました。実際には、それは真のゼロ知識ではありませんでした。2,500万人のユーザーが暗号化された保管庫を盗まれました。この侵害は2022年8月に最初に開示されました。全容が明らかになるにつれ、LastPassは2022年末まで何度も開示内容を更新しました。

医療、金融、法律分野の企業にとって、これは遠い出来事ではありませんでした。これらの分野はデータ漏洩で直接的な法的責任を負います。LastPassの事例は、より広い問題への明確な警告でした。

侵害を可能にした2つの欠陥

事後分析で2つの主要な弱点が見つかりました。

鍵導出の弱さ。 LastPassは鍵導出にPBKDF2を使用していました。新しいアカウントには100,100回のイテレーションがありました。OWASPは600,000回を推奨しています。古いアカウント(一部は2018年以前)では、1回のイテレーションしかないものもありました。イテレーションが少ないとブルートフォース攻撃が速く安価になります。保管庫ファイルを入手した攻撃者はマスターパスワードを高速でテストできました。

平文のメタデータ。 保管庫の内容は暗号化されていました。しかしメタデータは暗号化されていませんでした。URL、ユーザー名、サービス名はすべて盗まれたデータで見えていました。攻撃者は各ユーザーがどのサービスにアカウントを持っているかを確認できました。これにより、暗号化を解読せずにターゲット型フィッシングや認証情報の詰め込みが可能でした。

この事例は、2つの質問を別々に問う必要がある理由を示しています。「設計はゼロ知識か?」は一つの質問です。「実装は正しいか?」は別の質問です。

2023年のOkta:別の経路、同じ結果

2023年10月、Oktaは侵害を報告しました。盗まれた認証情報により、攻撃者がカスタマーサポートシステムにアクセスできました。この侵害で60万件以上のサポートレコードが露出しました。これにはサポートセッション中に顧客がアップロードしたファイルが含まれていました。

Oktaはアイデンティティセキュリティプラットフォームです。問題は設計上の欠陥ではありませんでした。アクセス制御の失敗でした。サポートエンジニアの認証情報が盗まれました。攻撃者はその有効なログインを使って機密データにアクセスしました。

LastPassとOktaは、ベンダー侵害への2つの主要な経路を示しています:

  • 設計上の欠陥 — 正しく実装されていないゼロ知識の約束
  • アクセス制御の失敗 — 有効な認証情報による不正データアクセス

ゼロ知識アーキテクチャは最初のタイプを防ぎます。有効なサポート認証情報を持つ攻撃者は止められません。しかし、その攻撃者が顧客データを平文で読むことは防げます。ベンダーは復号可能なコンテンツを保持しません。詳細はセキュリティとコンプライアンスの概要をご覧ください。

SaaSセキュリティインシデントが2年間で300 %増加

Obsidian Securityの調査で、2022年から2024年にかけてSaaSプラットフォームのセキュリティインシデントが300 %増加したことが分かりました。

これは攻撃者のスキルが300 %向上したのではありません。2つの力がこれを引き起こしました。SaaSの採用が急速に拡大しました。攻撃者はデータを追いかけました。1件のベンダー侵害で、数十社の企業顧客のデータが一度に露出する可能性があります。この費用対効果の高さが、個別企業ではなくベンダーを狙う動機となっています。

クラウドプラットフォームを安全と見なしていた企業は、その見方を更新する必要があります。SaaSベンダーは現在、主要な標的です。

クラウドベンダーに確認すべき質問

このチェックリストは主要分野をカバーしています。

暗号化:

  • 鍵導出アルゴリズム、イテレーション数、メモリパラメータを確認してください。
  • イテレーション数がOWASP最小要件を満たしていることを確認してください:PBKDF2-SHA256で600,000回、または同等のArgon2id。
  • 鍵導出がベンダーのサーバーではなくお使いのデバイスで実行されることを確認してください。

メタデータの露出:

  • 暗号化されたコンテンツと並んで平文で保存されているメタデータを確認してください。
  • どのフィールドが暗号化されていて、侵害時にどのフィールドが見えるかを示すデータモデルを要求してください。

サポートアクセス:

  • サポートスタッフが顧客データにアクセスできるかどうかを確認してください。
  • サポートシステムが顧客の平文にアクセスできないことを確認してください。

インシデント履歴:

  • 公開開示基準以下のものも含め、過去のすべてのセキュリティインシデントを要求してください。
  • 過去の開示がどれだけ完全で誠実だったかを評価してください。

LastPassの侵害は実装の失敗であり、透明性の失敗でもありました。具体的な回答を提供するベンダーは、真のリスク評価を可能にします。曖昧な主張をするベンダーはリスクを隠しています。そのリスクは侵害の後にしか表れないことが多いです。ベンダー評価のガイダンスはコンプライアンス概要をご覧ください。

anonym.legalはPII匿名化にゼロ知識アーキテクチャを使用しています。鍵導出はブラウザまたはデスクトップアプリでArgon2idを使って実行されます。暗号化はデータがデバイスから送信される前に行われます。サーバーは復号できない暗号文のみを保存します。詳細はこちら

参考資料

関連する記事

テクニカル

Cross-Platform PII: Mac, Linux, and Windows

Privacy officers on Mac, legal on Windows, data engineers on Linux — all processing the same data with different tools. Here's why OS-agnostic detection.

テクニカル

Cross-Application PII: Word, Chrome, and AI

Customer data flows from browser research to Word drafts to Claude prompts. Each context switch is a potential leakage point.

テクニカル

GDPR in App Logs: JSON PII Compliance

Application logs contain customer email addresses, IPs, and account numbers that GDPR Article 5(1)(e) requires be managed.

データを保護する準備はできましたか?

48言語で285以上のエンティティタイプを使用してPIIを匿名化し始めましょう。

無料トライアルを開始機能を見る

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.