LastPassの漏えい事件、クラウドストレージのデータ復号キーも取得か

LastPassは2022年8月に発生したセキュリティインシデントに関する最新の調査報告を開示した。脅威アクターはバックアップストレージに侵入後、ユーザーの基本アカウント情報などを不正コピーしていたとみられる。

[後藤大地，有限会社オングス]

　パスワード一元管理ツール「LastPass」を提供するLastPassは2022年12月22日（現地時間）、同社のブログで、同年8月に発生した開発環境からソースコードの一部と技術情報がサイバー攻撃者によって窃取されたインシデントについて、追加情報を開示した。このインシデントは、当初報告されていたよりも深刻だった可能性が指摘されている。

LastPassは2022年8月に発生したソースコードの一部と技術情報がサイバー攻撃者によって窃取されたインシデントについて報告した（出典：LastPassのWebサイト）

脅威アクターはバックアップ用のクラウドストレージに侵入か

　LastPassは2022年8月にサイバー攻撃を受け、同社の開発環境からソースコードの一部と技術情報が窃取され、サイバー攻撃者がユーザー情報の一部にアクセスしていたと報告していた。

　追加の情報開示によれば、サイバー攻撃者は2022年8月に取得した情報を利用してバックアップ用のクラウドベースのストレージサービスにアクセスし、データを窃取した。窃取されたデータには、ユーザー名や会社名、請求先住所、メールアドレス、電話番号、アクセス元IPアドレスなどユーザーの基本アカウント情報および関連メタデータなどの情報が含まれていた。

　また、窃取されたデータにはWebサイトのURLといった暗号化されていないデータとユーザー名やパスワードといった暗号化されたデータがあり、暗号化されたデータについては、ユーザーのマスターパスワードから生成される固有の暗号化鍵によってのみ復号が可能とされている。なお、マスターパスワードは「LastPass」には保存されることはないという。

　ただし、LastPassは、脅威アクターが総当り攻撃（ブルートフォース攻撃）によってマスターパスワードを推測し、復元を試みる可能性があると説明している。LastPassの提唱するパスワードのベストプラクティスに従っている限り、総当り攻撃でマスターパスワードを推測するのは困難とされているが、脆弱（ぜいじゃく）なパスワードを使っている場合はリスクが高まる危険性がある。

　その他、脅威アクターはマスターパスワードを得るためにフィッシング攻撃やクレデンシャルスタッフィング、ユーザーが利用する他のオンラインサービスに総当り攻撃などを実行してマスターパスワードにつながる情報の窃取を試みる可能性がある。LastPassは「電話やメール、テキストでユーザーに基本情報を確認するためのリンクのクリックを求めたり、マスターパスワードの入力を求めたりすることはない」とし、こうしたサイバー攻撃に注意するように呼びかけている。

　LastPassに関するセキュリティインシデントは現在も調査中とされている。今後も情報が明らかになり次第情報を公開するとされている。