Scribble at 2022-08-30 14:56:05 Last modified: 2022-08-30 15:35:40
今月は会社の研修動画として「パスワードの手引き」というタイトルでパスワードの生成や管理という話題を取り上げた。そして来月はパスワードを管理するツールやサービスを紹介する予定なので、Keepass や 1Password や LastPass を取り上げようと思うのだが、ちょうど LastPass でソースに攻撃が加えられたという話があった。
なお、スラドのコメントで上記の紹介文にある「緩和策」ってなんのことだろうという話が出ていたが、原文から察するに "mitigation measures" の誤訳だろうと思う。"measures" は複数形の集合名詞として「対策」と訳されることが多く、これは英語として "a step planned or taken as a means to an end"(Merriam-Webster)だと理解していれば、脈絡に応じてセキュリティ・ツールのことだったり、セキュリティ・ポリシーを変更することだったり、社員に何らかの注意を促すことだったりするのはお分かりだろう。"mitigation" は、確かに「緩和」という訳もあるが、情報セキュリティではリスクの「低減」という意味で使われるのが一般的であり、LastPass がユーザか LastPass というサービスに対して(よもや攻撃者に「緩和」するなんてありえないのだから)加えた対策だということが分かれば、これはリスクを低減させる対策として、LastPass が発表しているように外部の専門家と提携したことと、その成果として "we have achieved a state of containment, implemented additional enhanced security measures, and see no further evidence of unauthorized activity" を実施したことを意味しているのが分かる。