2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ～当初想定より深刻

「LastPass」の公式ブログ

　パスワード管理ツール「LastPass」が今年8月、ハッキングを受けた件について、米LastPassは8月25日（現地時間）、現在進行中の調査結果を公表した。

　2022年8月のインシデントは、同社の開発環境からソースコードを技術情報の一部が盗まれたというもの。同社は当初、顧客のデータや暗号化されたパスワード保管庫にアクセスされた形跡はないとしていた。

　しかしその後の調査で、さらに別の従業員を標的とした攻撃が行われ、同社が利用しているクラウドストレージの、一部ボリュームへのアクセスと復号化に使用される認証情報とキーが奪われていたことが判明した。攻撃を受けたクラウドストレージからデータがコピーされていたと思われる。

　「LastPass」の本番サービスは、オンプレミスのデータセンターで運用されており、クラウドストレージは開発環境から物理的に分離されている。ただし、クラウドストレージはバックアップの保存などさまざまな用途に利用されている。

　攻撃者はコピーしたバックアップデータから会社名、エンドユーザー名、請求先住所、メールアドレス、電話番号、顧客が「LastPass」サービスにアクセスしているIPアドレスなど、アカウントの基本情報と関連するメタデータにアクセスしたと判断された。

　一方、ユーザー名やパスワード、セキュアノートなどはデバイスレベルで完全に暗号化されており、マスターパスワードによって保護されている。マスターパスワードは「LastPass」すら知ることはできず、ユーザーから流出したり、脆弱な運用がなされていない限り、第三者がデータを復号することは困難だという。

　逆に言えば、マスターパスワードこそが最後の砦だったといえるだろう。同社はマスターパスワードを他のWebサイトでは決して再利用しないように呼び掛けている。

　なお、暗号化されていないクレジットカード情報にアクセスされた形跡は今のところないようだ。「LastPass」は完全なクレジットカード番号を保存しておらず、クラウドストレージにはクレジットカード情報が保持されていないとのこと。