ラストパスのラストストロー? クリプトの運命は?
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
ダグ・エイモス、ポール・ダックリンと
イントロとアウトロの音楽 エディスマッジ.
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ。 LastPass で再び、量子コンピューティングと 2023 年のサイバーセキュリティ予測をお楽しみください。
NakedSecurityポッドキャストのすべてとそれ以上。
【ミュージックモデム】
皆さん、ポッドキャストへようこそ。
私はダグ・アモスです。
彼はポール・ダックリンです。
ポール、やり方を覚えているか見てみましょう…
XNUMX 週間ほど経ちましたが、素晴らしい休暇をお過ごしいただけたでしょうか。休暇明けのプレゼントをご用意しています。
ご存知のように、私たちはショーに参加したいと思っています 今週の技術史 セグメント。
アヒル。 これは贈り物ですか?
ダグ。 これがプレゼントです!
私はあなたが他のものよりもこれに興味があると信じています 今週の技術史 セグメント…
…今週、04 年 1972 月 XNUMX 日に、 HP-35 ポータブル関数電卓が誕生しました。
電卓をクリックして、博物館の展示をご覧ください。
35 個のボタンがあるという理由だけで HP-35 と名付けられたこの電卓は、HP の Bill Hewlett が会社のデスクトップサイズの 9100A 関数電卓をシャツのポケットに収まるように縮小するという挑戦でした。
HP-35 は、それまで計算尺を使用する必要があった三角関数と指数関数を外出先で実行できることで際立っていました。
発売時の価格は 395 ドルで、今日のお金でほぼ 2500 ドルです。
ポール、あなたが古い HP 計算機のファンであることは知っています…
アヒル。 *古い* HP 電卓ではなく、単なる「HP 電卓」です。
ダグ。 ただ一般的に? [笑う]
うんいいよ…
アヒル。 どうやら、発売時にビル・ヒューレット自身が披露していたようです。
覚えておいてください、これは 20kg の卓上電卓/コンピューターを置き換える電卓です…
……どうやら落としたらしい。
古い HP 電卓を見たことがあるなら、それらは美しく構築されていたので、彼はそれを手に取ったのですが、もちろん、うまくいきました。
どうやら HP のすべての営業担当者は、それを相手に組み込んだようです。 [笑う]
彼らがデモを行うために外出したとき、彼らは誤って(または他の方法で)電卓を落としてしまい、それを拾ってそのまま続けていました。
ダグ。 大好きです! [笑う]
アヒル。 彼らは以前のようにはしません、ダグ。
ダグ。 彼らは確かにそうではありません。
それは信じられないほどの日々でした。
OK、あまりクールではないことについて話しましょう。
アヒル。 ええとああ!
ダグ。 LastPass: 監視すると言っていましたが、*実際に*監視していました。 悪化した!
アヒル。 それは、LastPass-the-company が単に何が起こったのかを認識していなかったという長期にわたる話であることが判明しました。
そして、彼らが車の錆びた部分を少し引っ掻くたびに、穴が大きくなり、最終的にはすべてが落ちてしまいました.
それで、それはどのように始まりましたか?
彼らはこう言いました。 したがって、それは私たちの知的財産です。 まあ。 愚かな私たち。 しかし、心配しないでください。彼らが顧客データに侵入したとは考えていません。」
その後、彼らは戻ってきて、「開発ネットワークからアクセスできないため、*間違いなく* 顧客データやパスワード ボールトにはアクセスしませんでした」と言いました。
それから彼らは言いました。 インシデント XNUMX で盗んだものに基づいて、インシデント XNUMX が発生し、実際に顧客情報が盗まれました。」
それで、私たちは皆、「ああ、それは悪いことですが、少なくとも彼らはパスワード保管庫を持っていない!」と考えました。
すると彼らは、「ところで、『顧客情報』と言ったときの意味を教えてください。 私たちはあなたについて多くのことを意味します。 あなたが住んでいる場所; あなたの電話番号と電子メールの連絡先の詳細。 そのようなもの。 *そして* [一時停止] あなたのパスワード保管庫。」
ダグ。 [あえぎ] OK?!
アヒル。 そして*それから*彼らは言った、「ああ、私たちが「金庫室」と言ったとき、あなたはおそらく、非常に大きなドアが閉まり、大きな車輪が回転し、巨大なボルトが通り抜け、内部のすべてがロックされていることを想像したでしょう.
「まあ、私たちの保管庫では、実際に保護されたのは*一部*のものだけで、他のものは事実上プレーンテキストでした. でも心配しないでください、それは独自のフォーマットでした。」
つまり、実際にはパスワードは暗号化されていましたが、Web サイトと Web サービス、および保存されているその他の記載されていないもののリストは暗号化されていませんでした。
つまり、これは特別な種類の「ゼロ知識」であり、彼らがよく使っていたフレーズです。
[長い沈黙]
[注意のための咳] 私はそこで劇的な一時停止を残しました、ダグ。
[笑い]
そして*それから*それは…
…彼らがどのようにみんなに言っているのか知っています。「心配しないでください。 HMAC-SHA-256 in PBKDF2"?
まあ、*多分*。
ダグ。 万人向けではありません!
アヒル。 2018 年以降に最初にソフトウェアをインストールした場合は、その可能性があります。
ダグ。 2017 年に初めてソフトウェアをインストールしたので、この「最先端の」暗号化については知りませんでした。
そして、私はちょうどチェックしました。
マスター パスワードを変更しましたが、これは設定です。アカウント設定に移動する必要があります。 詳細設定 ボタン; それをクリックすると、パスワードがタンブルされる回数を選択できます…
…そして私のはまだ5000に設定されていました.
その間に、私が読んだクリスマス前の金曜日に電子メールを受け取りました。 次に、クリックしてブログ投稿に移動します。 ブログ記事を読んで…
…そして、私の反応の私の印象は次のとおりです。
[非常に長い疲れたため息]
ただ長いため息。
アヒル。
でも実際はもっとうるさいかも…
ダグ。 悪化し続けています。
だから:出ました!
私は終わったと思う…
アヒル。 本当に?
[OK]をクリックします。
ダグ。 もういい。
すでに別のプロバイダーへの移行を開始していましたが、これが「最後のストロー」だったとは言いたくありません。
つまり、たくさんのストローがあり、それらは壊れ続けていました。 [笑い]
パスワード マネージャーを選択するときは、これが利用可能な最も高度なテクノロジの一部であり、何よりも保護されていると想定する必要があります。
そして、これが事実ではなかったようです。
アヒル。 [皮肉] でも少なくとも彼らは私のクレジットカード番号を知らなかった!
私は XNUMX 日半で新しいクレジット カードを手に入れることができたかもしれませんが、マスター パスワードとそこにあるすべてのアカウントを含むすべてのパスワードを変更するよりもおそらく早いでしょう。
ダグ。 絶対!
では、LastPass ユーザーがいる場合、切り替えを考えている場合、またはアカウントを強化するために何ができるか疑問に思っている場合は、私が直接彼らに伝えることができます…
アカウントにアクセスします。 一般設定に移動し、 詳細設定 タブをクリックして、反復回数が何であるかを確認します。
あなたはそれを選択します。
私のアカウントは非常に古いものだったので、5000 に設定されていました。
かなり高めに設定しました。
彼らはあなたに推奨数を与えます。 私はそれよりもさらに上に行きます。
そして、アカウント全体を再暗号化します。
しかし、私たちが言ったように、猫は袋から出ています. すべてのパスワードを変更せずに、[古い] マスター パスワードを解読できた場合、アカウントのオフライン コピーを入手したことになります。
したがって、マスター パスワードを変更してすべてを再暗号化するだけでは、完全には機能しません。
アヒル。 正確に。
入って繰り返し回数が 5000 のままである場合、それは、パスワード推測攻撃を遅らせるために、パスワードが使用される前に、パスワードをハッシュ、ハッシュ、ハッシュ、および再ハッシュする回数です。
これは、*詐欺師が現在所有しているボールトで*使用された反復回数です。
だから100,100、XNUMXに変えても…
…奇数: Naked Security 推奨 200,000 [日付: 2022 年 310,000 月]; OWASP は 100,100 程度を推奨していると思いますが、LastPass は、「ああ、まあ、平均 XNUMX を超える、本当に、本当にある種のガンホーをやっている」と言っていますか?
私はそれをパックの真ん中のどこかに呼んでいます – 正確には壮観ではありません.
しかし、これを変更すると、*現在の* ボールトのクラッキングのみが保護され、詐欺師が入手したボールトは保護されません.
ダグ。 では、結論として。
明けましておめでとうございます。 週末の予定はもう決まっているので、「どういたしまして」。
またこんなことを言うなんて信じられませんが、今後も注視していきます。
よし、暗号列車にとどまって、量子コンピューティングについて話そう。
アメリカ合衆国によると、準備をする時が来ました。最善の準備は…
[劇的] …暗号の俊敏性.
アヒル。 はい!
これは面白いと思ったので、クリスマスから新年にかけて書いた楽しい小さな物語でした。活発なコメントがあったので、どうやらたくさんの読者もそうだったようです…量子コンピューティングはクールなものですね。
核融合、暗黒物質、超弦理論、グラビトンなどのようなものです。
誰もがそれが何であるかについて漠然とした考えを持っていますが、それを本当に理解している人は多くありません.
つまり、量子コンピューティングの理論は、非常に大まかに言えば、本質的にすべての答えがすぐに現れるような方法で特定の種類の計算を行うことができるアナログ コンピューティング デバイスを構築する方法であるということです。デバイスの内部。
そして、あなたが持っているトリックは、これを合体させることができれば、量子力学に基づいた「重ね合わせ」と呼ばれるものだと思います...
…この重ね合わせを折りたたんで、実際に必要な答えが飛び出し、他のすべての答えが量子煙のパフで消えるようにすることができれば、それが暗号化にとって何を意味するかを想像することができます.
暗号解読にかかる時間を劇的に短縮できる可能性があるからです。
実際、十分に強力な量子コンピューターが登場すれば、主に XNUMX 種類のアルゴリズムの高速化が可能になります。
そのうちの 256 つは、AES などの対称キー暗号化や、SHA-XNUMX などのハッシュの衝突などのクラッキングを扱っています。後は X の平方根だけの努力です。
しかし、さらに重要なことは、別のクラスの暗号アルゴリズム、特にある種の公開鍵暗号では、X から X の *対数* に必要な解読作業を減らすことができるということです。
これらの変化がどれほど劇的であるかを理解するために、10 進法で言えば、1,000,000 単位の労力を要する問題があるとしましょう。
1,000,000 の平方根は 1000 です。もっと扱いやすいと思いませんか?
そして、1,000,000 の対数 [10 を底とする] はちょうど 6 です!
したがって、量子コンピューティングと暗号化に関する懸念は、今日の暗号化アルゴリズムが将来のある時点で置き換えが必要になる可能性があるということだけではありません。
問題は、実際には、今日暗号化しているものは、たとえば数年、さらには数十年にわたって安全に保つことを望んでいるということです.一瞬…
…特に、大金を持った攻撃者にとっては。
つまり、言い換えれば、量子コンピューターが初めて登場するまで待つのではなく、これらの量子コンピューターが登場する可能性があると考える*前に*、アルゴリズムを変更する必要があります.
いわば、水平を保つために先を行く必要があります。
これらの変化に適応できるように、また必要に応じて事前に積極的に適応できるように、暗号の機敏性を維持する必要があります。
そして*それ*は、彼らが意味していたと私が思うものです 暗号の俊敏性.
サイバーセキュリティは旅であり、目的地ではありません。
そして、その旅の一部は、そこに着くまで待つのではなく、次にどこへ行くのかを予測することです.
ダグ。 次の話の続きです!
になると 何が起こるかを予測する 2023 年には、歴史は面白い形で繰り返されることを忘れてはなりません…
アヒル。 そうです、ダグ。
そのため、「ネイキッド セキュリティ 33 1/3」のような見出しを付けることができたらクールだと思いませんか?
なぜ面白いと思ったのか思い出せませんでした…そしてそれがフランク・ドレビンだったことを思い出しました…それは「Naked *Gun* 33 1/3」でした。 [笑う]
それが私が書いた理由ではありません… 33 1/3 はちょっとした冗談でした。
本当は「34 歳を少し超えたところ」だったはずですが、少なくとも数回前にポッドキャストで話したことがあります。
インターネットワーム、1988 年 [「ちょうど 34」年前]、ハッキング、クラッキング、およびマルウェア拡散と呼ばれる XNUMX つの主な技術に依存していました。
パスワードの選択が不適切です。
メモリの不適切な管理 (バッファ オーバーフロー)。
また、既存のソフトウェアに適切にパッチを適用したり保護したりしていません。
パスワードの推測… 400 語程度の独自の辞書を持ち歩いており、*全員の* パスワードを推測する必要はなく、システム上の *誰かの* パスワードだけを推測する必要がありました。
この場合、バッファ オーバーフローはスタック上にありました。最近では悪用するのが難しくなっていますが、メモリ管理の誤りが、ゼロデイを含む膨大な数のバグの原因となっています。
そしてもちろん、パッチを適用することはありません。この場合、デバッグ用にコンパイルされたメール サーバーをインストールしたのは人々でした。
彼らはそれをすべきではなかったことに気づいたとき、決して戻って変更することはありませんでした.
したがって、2023 年のサイバーセキュリティの予測を探しているなら、素晴らしい新しいビジョンや素晴らしい新しい脅威を売り込む企業がたくさんあるでしょう…
…そして悲しいことに、新しいものはすべてあなたも心配しなければならないものです.
しかし、古いものは消えていません.33年半で消えていないのであれば、議会が量子コンピューティングで行うことを提案しているように、私たちがそれについて非常に積極的にならない限り、期待するのは合理的です. 1 3/16 年後も、これらの問題はまだ残っているでしょう。
したがって、2023 年の単純なサイバーセキュリティの予測が必要な場合は、XNUMX 年前までさかのぼることができます…
ダグ。 [笑う] はい!
アヒル。 …そして、その時の出来事から学びましょう。
悲しいことに、歴史を思い出せない人はそれを繰り返す運命にあるからです。
ダグ。 正確に。
ここでは未来にとどまり、機械学習について話しましょう。
しかし、これは実際には機械学習に関するものではなく、古き良きものです サプライチェーン攻撃 機械学習ツールキットが含まれます。
アヒル。 さて、これは パイトーチ – 非常に広く使用されています – この攻撃は、いわゆる「ナイトリー ビルド」のユーザーに対するものでした。
多くのソフトウェア プロジェクトでは、月に XNUMX 回更新される可能性のある「安定ビルド」を取得し、その後、開発者が現在取り組んでいるソース コードである「ナイトリー ビルド」を取得します。
したがって、本番環境では使用したくないかもしれませんが、開発者であれば、ナイトリー ビルドと安定ビルドを一緒に使用することができるので、次に何が起こるかを確認できます。
それで、これらの詐欺師がしたことは…彼らは PyTorch が依存しているパッケージを見つけました (それは torchtriton)、そして彼らは PyPI に行きました。 Pythonパッケージインデックス リポジトリを作成し、その名前でパッケージを作成しました。
現在、そのようなパッケージは存在しませんでした。これは通常、PyTorch と一緒にバンドルされているだけだったからです。
しかし、Python パッケージ管理の依存関係を満たすセットアップ全体で、セキュリティの脆弱性、または確かにセキュリティの問題と見なすことができるもののおかげで…
…更新を行うと、更新プロセスは次のようになります。 torchtriton – これは PyTorch に組み込まれています。 いや、ちょっと待って! PyPI にバージョンがあり、パブリック Package Index にバージョンがあります。 代わりにそれを手に入れたほうがいいです! おそらく最新のものなので、それはおそらく本当の取引です。」
ダグ。 おおおおおお…。
アヒル。 そして、それはより「最新」でした。
マルウェアに感染したのは *PyTorch* ではなく、インストール プロセスを実行したときに、マルウェア コンポーネントがシステムに挿入され、機械学習とは無関係にそこに置かれて実行されただけでした。
という名前の番組でした。 triton.
そして基本的にそれがしたことは、ホスト名などのプライベートデータの全負荷を読み取ることでした。 さまざまな重要なシステム ファイルの内容 /etc/passwd (Linux では、幸いなことに実際にはパスワード ハッシュは含まれていませんが、システム上のユーザーの完全なリストが含まれています)。 そしてあなたの .gitconfig、あなたが開発者なら、おそらくあなたが取り組んでいるプロジェクトについてたくさんのことを言っています.
そして、最も卑劣で厄介なことに、あなたのコンテンツ .ssh ディレクトリ。通常、秘密鍵が保存されます。
すべてのデータをパッケージ化して、一連の DNS 要求として送信しました、ダグ。
だからこれは Log4J すべての繰り返し。
Log4J 攻撃者がこれを行っていたことを覚えていますか?
ダグ。 はい。
アヒル。 彼らはこう言っていました。 .class ファイル、およびそのすべての複雑さ。 それは気がつきますね。 リモートでコードを実行しようとするつもりはありません... ほとんどのサーバーで許可されている、無害に見える DNS ルックアップを実行するだけです。 ファイルをダウンロードしたり、何かをインストールしたりしていません。 名前をIP番号に変換しているだけです。 それはどれほど有害でしょうか?」
答えは、私が詐欺師であり、ドメインを実行している場合、そのドメインについてどの DNS サーバーが通知するかを選択できるということです。
したがって、自分のドメインに対して検索すると、「サーバー」(私は空気引用を使用しています)と呼ばれます SOMEGREATBIGSECRETWORD ドット MYDOMAIN ドット EXAMPLE、次にそのテキスト文字列について SECRETWORD リクエストで送信されます。
つまり、これは本当に、本当に、うっとうしいほど効果的な窃盗方法です (または、サイバーセキュリティが好む軍国主義の専門用語を使用すると、 流出) 多くのネットワークがフィルタリングしない方法で、ネットワークからプライベート データを取得します。
さらに悪いことに、Doug: そのデータは (256 ビットの AES を使用して) 暗号化されていたため、実際にはサーバー名ではなく、秘密鍵のような秘密データでした...
…これは暗号化されているため、ログを確認するだけでは、「私のログでこれらのユーザー名は何をしているのですか? それは変だ!"
何の変哲もない奇妙で奇妙なテキスト文字列が表示されるだけです。
したがって、エスケープされた可能性のある文字列を検索することはできません。
ただし: [PAUSE] ハードコーディングされたキーと初期化ベクトル、Doug!
したがって。 それを記録したネットワーク パス上の誰でも、悪意があれば、後でそのデータを解読することができます。
詐欺師だけが知っている秘密を含むものは何もありませんでした。
盗まれたデータを復号化するために使用するパスワードは、世界中のどこにいても、マルウェアに埋め込まれています。XNUMX 分で復元できます。
これを行った詐欺師は今、[MOCK HUMILITY] と言っています。 本音!"
そうだね。
あなたは、サプライ チェーン攻撃が問題であることを「証明」したかったのです (以前よりもさらに大きな空気の引用)。
つまり、あなたは人々の秘密鍵を盗むことによって、それを「証明」しました (私が今使ったものよりもさらに大きな空気の引用)。
そして、公正な手段または不正によってそのデータを手に入れた他の誰かが、現在または将来、LastPass の場合のようにマスター パスワードをクラックする必要さえないような方法でそれを行うことを選択しました。
ダグ。 うわー。
アヒル。 どうやら、これらの詐欺師たちは、「ああ、心配しないでください。正直なところ、すべてのデータを削除しました」とさえ言っています。
まあ…
A) 私はあなたを信じていません。 どして私がこんな事に?
ダグ。 [笑い]
アヒル。 B) [CROSS] TOO. 遅い。 バディ。
ダグ。 では、物事は今どこにあるのでしょうか?
すべてが正常に戻りましたか?
あなたは何をしますか?
アヒル。 良いニュースは、基本的に 2022 年のクリスマスから新年まで (正確な時間は記事に記載されています) に、このナイトリー ビルドをインストールした開発者がいなければ問題ないということです。
それがこの悪意のある唯一の期間だったので torchtriton パッケージは PyPI リポジトリにありました。
もう XNUMX つは、私たちが知る限り、Linux バイナリのみが提供されたことです。
したがって、Windows で作業している場合、Windows Subsystem for Linux (WSL) がインストールされていない場合、これは無害なバイナリ ガベージになると思います。
専門用語を使用すると、PE バイナリではなく Elf バイナリであるため、実行されません。
また、心配な場合は、ログで確認できることもたくさんあります。
DNS ログがある場合、詐欺師は特定のドメイン名を使用しています。
このことが突然問題にならなくなった理由 (30 年 2022 月 XNUMX 日だったと思います) は、PyTorch が正しいことをしたからです…
…Python Package Index と連携して、不正なパッケージを追い出し、本質的に「不発弾」に置き換えたと思います。 torchtriton 何もしないパッケージ。
「これは本物ではない」と言うために存在するだけです torchtriton パッケージ」であり、PyTorch 自体からの実際のパッケージを取得する場所を示します。
これは、ダウンロードしてもマルウェアはおろか、何も得られないことを意味します。
Naked Security の記事には、侵害の痕跡 [IoC] がいくつかあります。
マルウェアの暗号化部分を分析したので、盗まれた可能性のあるものを理解できます。
そして悲しいことに、ダグ、あなたが疑わしい場合、または殴られた可能性があると思われる場合は、それは良い考えです。
それはまさに、LastPass のすべてのものを処理しなければならなかったことです。
SSH ログイン用の新しい秘密鍵または鍵ペアを再生成します。
問題は、多くの開発者が行っていることです... パスワードベースのログインを使用する代わりに、公開/秘密鍵ペアのログインを使用します。
鍵ペアを生成し、接続先のサーバーに公開鍵を置き、秘密鍵を自分で保管します。
そして、ログインするときは、ネットワーク上を移動しなければならないパスワードを入力する代わりに (途中で暗号化されている可能性があります)、秘密鍵をメモリ内でローカルに復号化し、それを使用して署名します。サーバーへの一致する秘密鍵を持っていることを証明するメッセージ…そしてそれはあなたを入れます.
問題は、開発者の場合、多くの場合、プログラムやスクリプトで秘密鍵ベースのログインを実行できるようにしたいため、多くの開発者は暗号化されていない秘密鍵を持っていることです。
ダグ。 [OK]をクリックします。
うーん、なんとも言えませんが、これからも見守っていきたいと思います!
そして、この話について匿名の読者から興味深いコメントがありました。
「無用なデータ、SSH キー、およびそれらを実行するのに十分な愚か者である場合、それらを公開または感染させる実行可能ファイルで、詐欺師のデータ キャッシュを汚染することは可能でしょうか? 基本的に、盗み出された本当のデータを大量のがらくたの背後に埋めるために、フィルタリングしなければならないのですか?」
アヒル。 ハニーポット、または偽のデータベースは、*本物*です。
これらは、サイバーセキュリティの研究において非常に便利なツールです。詐欺師に、実際のサイトに侵入したと思わせることで、「ああ、それはサイバーセキュリティ会社だ。 私はあきらめています」と言って、あなたが彼らに見せてほしいトリックを実際に試してはいけません.
また、明らかに法執行機関にも役立ちます。
問題は、自分でやりたい場合は、法的に許可されている範囲を超えないようにしてください.
法執行機関はハッキングの令状を取得できるかもしれません…
…しかし、コメンターが言ったところ、「ねえ、見返りに感染させてみませんか?」
問題は、それを行うと… まあ、多くの同情を得るかもしれませんが、ほとんどの国では、それでもほぼ確実に法律に違反することになります.
したがって、あなたの回答がバランスが取れており、有用であり、最も重要なこととして合法であることを確認してください.
詐欺師をいじって、自分でお湯に浸かろうとしても意味がないからです。
それは皮肉なことです。
ダグ。 わかりました、とても良いです。
親愛なる匿名読者様、お送りいただきありがとうございます。
送信したい興味深い話、コメント、または質問がある場合は、ポッドキャストでぜひお読みください。
tips@sophos.com に電子メールを送信するか、ソフォスの記事にコメントするか、ソーシャル (@NakedSecurity) でご連絡ください。
それが今日の私たちのショーです。
聞いてくれてありがとう。
ポール・ダックリンの場合、私はダグ・アーモスです。次回まで、次のことを思い出させてくれます…
どちらも。 安全を確保してください!
【ミュージックモデム】
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://nakedsecurity.sophos.com/2023/01/05/s3-ep116-last-straw-for-lastpass-is-crypto-doomed-audio-text/
