LastPassがまたやられた。今週WIREDで読んだニュースで、名前・電話番号・メールアドレス・住所・サポート履歴が流出したと出ていた。しかも原因はLastPass自身のインフラではなく、AIビジネスインテリジェンス企業のKlueという外部パートナーが侵害されたことで、Salesforceなどの連携プラットフォームからデータを抜かれたというパターンだ。
これを読んで、「やっぱりな」という感想が先に来た。LastPassは過去にも複数の大規模流出を起こしていて、正直もうブランドとして信用を積み重ねるフェーズは終わっているんじゃないかと思っている。今回パスワードボルト自体は影響なしとのことだが、連絡先情報が流出しているならフィッシング攻撃のリスクは普通に上がる。
マーケターがパスワード管理に無頓着でいられない理由
自分はデジタルマーケターとして、Meta広告マネージャー・Google Ads・TikTok Ads・GA4・Salesforceと、毎日かなりの数のプラットフォームにログインする。案件ごとにクライアントのアカウントに入ることもある。クライアントから「広告アカウントへのアクセスを共有して」と言われたとき、どういう方法でIDとパスワードを受け渡すか、正直グレーなやり取りが多いのが実態だ。
SlackのDMでパスワードを送ってくるクライアントもいるし、Notionにそのまま書かれていることもある。自分自身は1Passwordを使っていてマスターパスワードを一つ管理するだけにしているけど、それでも外部の連携サービスが踏み台になって情報が抜かれるなら、「パスワードマネージャーを使えばOK」という話では済まない。
KlueのようなBIツールがSalesforceと連携してアクセストークンを持っているという構造は、広告運用でも似た話がある。サードパーティのレポーティングツールやMA連携ツールが、広告アカウントのAPIトークンを保持している状態だ。そのベンダーのセキュリティがどこまで信頼できるかを確認する機会は、ほぼない。
「数字で測る」視点で自分の運用を棚卸しした
このニュースを読んで、自分が普段どのくらいのアカウント連携を抱えているか棚卸しした。数えてみたら、Meta・Google・TikTokのAPIトークンを保持しているサードパーティツールだけで8つあった。Looker Studio連携・自動レポートツール・入稿補助ツール・競合分析ツール……全部業務効率化のために入れたものだ。
今回のLastPassの件でいうと、LastPass側のインフラは無事だった。それでも被害は出た。自分のケースに置き換えると、広告アカウントのパフォーマンスデータや顧客リストを持っているツールのベンダー側が侵害されたとき、自分には止める手段がほぼないことになる。
今のところやろうとしていることは3つある。
- 各ツールに付与しているAPIトークンの権限スコープを確認し、必要最小限に絞る
- 使っていないツールとの連携を解除する (棚卸しで2つ即日外した)
- クライアントとのアカウント共有フローを、マスターパスワード渡しではなくアクセス権限付与に切り替える交渉を始める
ROASやCPAの改善に使う時間と比べると、こういう作業は地味で数字に直結しない。でも広告アカウントを乗っ取られたときの損失は、インプレッションが落ちたときとは比べ物にならない。昨年、別の代理店の先輩がGoogle広告アカウントを乗っ取られて、一晩で数百万円分の不正配信をやられていたのを見ている。あの件を思い出すと、やはり定期的な棚卸しは外せない。
今回の記事で一番刺さったのは、LastPassが「フィッシングや不審な連絡に注意してください」と顧客に通知している部分だ。流出させておいてその一言か、という気持ちはあるけど、実際に自分のメールアドレスが出回っているなら意識するしかない。次のステップとして、業務用メールに届くフィッシングメールの精度が上がっていないか、しばらくはちゃんと観察してみる。