ニュース
2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ~当初想定より深刻
マスターパスワード1つでギリギリ。大事な暗号化データは辛うじて保護
2022年12月23日 13:38
パスワード管理ツール「LastPass」が今年8月、ハッキングを受けた件について、米LastPassは8月25日(現地時間)、現在進行中の調査結果を公表した。
2022年8月のインシデントは、同社の開発環境からソースコードを技術情報の一部が盗まれたというもの。同社は当初、顧客のデータや暗号化されたパスワード保管庫にアクセスされた形跡はないとしていた。
しかしその後の調査で、さらに別の従業員を標的とした攻撃が行われ、同社が利用しているクラウドストレージの、一部ボリュームへのアクセスと復号化に使用される認証情報とキーが奪われていたことが判明した。攻撃を受けたクラウドストレージからデータがコピーされていたと思われる。
「LastPass」の本番サービスは、オンプレミスのデータセンターで運用されており、クラウドストレージは開発環境から物理的に分離されている。ただし、クラウドストレージはバックアップの保存などさまざまな用途に利用されている。
攻撃者はコピーしたバックアップデータから会社名、エンドユーザー名、請求先住所、メールアドレス、電話番号、顧客が「LastPass」サービスにアクセスしているIPアドレスなど、アカウントの基本情報と関連するメタデータにアクセスしたと判断された。
一方、ユーザー名やパスワード、セキュアノートなどはデバイスレベルで完全に暗号化されており、マスターパスワードによって保護されている。マスターパスワードは「LastPass」すら知ることはできず、ユーザーから流出したり、脆弱な運用がなされていない限り、第三者がデータを復号することは困難だという。
逆に言えば、マスターパスワードこそが最後の砦だったといえるだろう。同社はマスターパスワードを他のWebサイトでは決して再利用しないように呼び掛けている。
なお、暗号化されていないクレジットカード情報にアクセスされた形跡は今のところないようだ。「LastPass」は完全なクレジットカード番号を保存しておらず、クラウドストレージにはクレジットカード情報が保持されていないとのこと。