人気のパスワードマネージャーLastPassは昨年、パスワードを含むユーザーの機密データが漏洩する大規模な攻撃を受けました。同社は昨年12月、攻撃者がこれらのデータを入手したことを認め、ユーザーにパスワードの変更を促す声明を発表しました。しかし今回、LastPassは、このインシデントはDevOpsエンジニアから盗まれた資格情報によって引き起こされたと発表しました。

エンジニアの自宅のコンピューターがLastPassのセキュリティ侵害を引き起こした

ArsTechnicaのブログ記事で共有されているように、2022年8月にハッカーによるAmazon AWSクラウドサーバーへのアクセスとデータの窃取を目的とした協調攻撃が発生しました。具体的には、同社のクラウドストレージにアクセスできるDevOpsエンジニアからサーバーの認証情報が窃取されました。これにより、LastPassによる不審な活動の検知が困難になりました。

興味深いことに、ArsTechnicaは情報筋から、エンジニアのコンピュータがPlexメディアプラットフォームの脆弱性を利用してハッキングされたと聞きました。LastPassへの攻撃から12日後、Plexも攻撃を受け、1,500万人のユーザーのパスワードが盗まれたことを確認しました。

攻撃者がアクセスしたサーバーには、LastPassの顧客のバックアップと暗号化された保管庫データが含まれていました。同社は次のように述べています。

この攻撃は、DevOpsエンジニアの自宅のコンピュータを標的とし、脆弱なサードパーティ製メディアソフトウェアパッケージを悪用することで実行されました。これにより、リモートコード実行機能が有効になり、キーロガーマルウェアを埋め込むことが可能になりました。脅威アクターは、従業員がMFAで認証した後に入力されたマスターパスワードを傍受し、DevOpsエンジニアのLastPass企業用Vaultへのアクセスを獲得しました。

この事件を受け、LastPassは今後の攻撃を防ぐため、また発生原因の調査と合わせて、複数の対策を講じました。エンジニアの個人ネットワークのセキュリティ強化を支援し、LastPassのシステムに新たな多要素認証を追加しました。さらに、ハッカーが取得した証明書は失効しました。

今すぐパスワードを変更してください

LastPassをご利用の場合、プラットフォームに保存されているすべてのパスワードを変更することを強くお勧めします。LastPassの保管庫のマスターパスワードも変更する必要があります。LastPassによると、現在、同プラットフォームには3,000万人以上のユーザーと10万社以上の法人顧客がいます。

なお、LastPassには無料版もありますが、一部の機能はサブスクリプションが必要です。詳細はLastPassのウェブサイトをご覧ください。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。