Bleeping Computerは6月24日(米国時間)、「LastPass users furious after being locked out due to MFA resets」において、パスワード管理ツールのLastPassにログインできないユーザーが続出していると伝えた。LastPassは最近実施したセキュリティアップデートのために、ユーザーに多要素認証(MFA)アプリの設定をリセットするように求めていた。しかし、多くのユーザーがリセット後にLastPassにログインできなくなり、パスワード保管庫を含めたLastPassボールトにアクセスできなくなっているという。

LastPassは、2023年5月9日に実施したセキュリティアップデートに対して、ユーザーを強制的にログアウトさせた上で、Google AuthenticatorやMicrosoft AuthenticatorなどのMFAアプリケーションの設定をリセットするように求めていた。LastPassによると、MFAリセットの通知は3月初旬と4月初旬の2回、ユーザーにメールで送信し、さらにその後アプリ内通知でも提示されたという。

しかし、通知を受けてMFAアプリをリセットしたユーザーの一部は、再同期のためにLastPassから送られてきたMFAコードが正常に動作せずに、自身のアカウントにアクセスすることができなくなったとのこと。マスターパスワードも動作せず、パスワードリセットもできないため、ログインする手段を完全に失ったと伝えられている。

MFAアプリのリセット方法は、LastPassの次のサポートページにその手順が説明されている。

  • LastPassによるMFAアプリのリセット方法の説明

    LastPassによるMFAアプリのリセット方法の説明

この手順を正しく実行しない場合、アカウントにアクセスできなくなる可能性があるという。正しい手順はLastPassから送られたメールでの通知やアプリ内通知で案内されていたとのことだが、それに気付かずにロックアウトされてしまったユーザーが多数いる模様だ。

LastPassでは、2022年8月に開発環境への不正アクセスによってソースコードおよび技術情報が盗み出された。そして、そこに含まれる情報によって同12月に部分的に暗号化された顧客情報とパスワード保管庫が盗み出されたことが判明した。これらのインシデントを受けて、同社はセキュリティ強化の施策を続けており、今回のMFAリセットもその一環として行われた。