8月に発生したLastPassのセキュリティ侵害により、攻撃者が顧客データにアクセスできたと同社は発表した。同社は以前、顧客データの侵害は発生していないと発表していた。

LastPass の所有者である LogMeIn は、エンドツーエンドの暗号化を使用して加入者のみが復号キーを持っているため、顧客のパスワードが侵害されていないことを強調しています...

背景

LastPassは1Passwordと競合するパスワードマネージャーです。LastPassでは、すべてのパスワードが暗号化されて保存され、マスターパスワードを1つ入力するだけで、どのウェブサイトにもログインできます。デバイスが安全に管理され、独自のセキュリティで保護されている場合は、通常、その日の残りの時間はパスワードをロック解除したままにして、すべてのアカウントにシームレスにログインできるようにします。

同社は8月に報告されたセキュリティ侵害を確認しました。攻撃者は同社の開発環境にアクセスし、ソースコードやその他の技術データにアクセスしました。LogMeInは当時、顧客データにも本番環境にもアクセスされていない（つまり、攻撃者は侵害されたアップデートをユーザーにプッシュできなかった）と発表していました。しかし、本日の報告では、その後顧客データが侵害されたことが明らかになりました。

（以前のセキュリティアラートはLastPassとは全く関係がないことが判明しました。攻撃者は別の場所で取得したログイン認証情報を使用してLastPassアカウントにアクセスしようとしました。パスワードマネージャーを使用する主な目的は、複数のサービスで同じパスワードを使用することを避けることであるため、この攻撃が成功する可能性は低いです。）

LastPassのセキュリティ侵害は報告より深刻

LogMeIn 社は、最初の攻撃では顧客データにアクセスできなかったものの、攻撃中に取得した情報がその後、顧客データへのアクセスに使用されたと発表した。

先日、LastPassとその関連会社であるGoToが現在共有しているサードパーティのクラウドストレージサービスにおいて、異常なアクティビティを検知しました。直ちに調査を開始し、大手セキュリティ企業Mandiantと連携し、法執行機関に通報しました。 

2022年8月のインシデントで入手された情報を利用し、不正な第三者がお客様の情報の一部にアクセスできたことが判明しました。お客様のパスワードは、LastPassのゼロナレッジアーキテクチャにより安全に暗号化されています。 

同社のCEO、カリム・トゥッバ氏は、攻撃の範囲とアクセスされた顧客データの特定に現在も取り組んでいると述べています。状況が整い次第、同社が影響を受けた顧客に通知することを期待しています。

同社はセキュリティに関する推奨事項を強調

同社は、LastPassの使用に関するセキュリティ推奨事項をユーザーに示しています。最も重要なのは、言うまでもなく、マスターパスワードとして非常に強力で固有のパスワードを使用することです。このパスワードを入手できれば、誰でもあなたのすべてのログイン情報にアクセスできるようになります。

9to5Macの見解

顧客データの漏洩はいかなる場合も恥ずべき事態ですが、パスワードマネージャーで発生した場合ほど深刻な事態はないでしょう。調査の過程および調査終了時に、企業には完全な透明性が確保されることを期待します。また、データにアクセスされたすべての顧客に直接連絡を取り、漏洩した情報の内容を正確に明らかにする必要があります。

havebin.com を Google ニュース フィードに追加します。