LastPassはどのように侵入を許したか？ 自社を狙ったサイバー攻撃の詳細な手口を公開

LastPassは2022年8〜10月に発生した同社を標的としたサイバー攻撃に関する詳細な調査結果を公開した。サイバー攻撃者がどのようにして共有クラウドストレージにアクセスしたのかが詳細に解説されている。

[後藤大地，有限会社オングス]

　パスワード一元管理ツール「LastPass」を提供するLastPassは、2022年8〜10月にかけて実行された同社を標的にしたサイバー攻撃に関する最新の調査結果を報告した。

　調査から、サイバー攻撃は同一の脅威アクターによって実行されていたことやLastPassのDevOpsエンジニアの自宅PCをマルウェアに感染させてマスターパスワードを窃取していたことなどが明らかになった。

LastPassは同社を狙ったサイバー攻撃の詳細を報告した（出典：LastPassのWebサイト）

攻撃者はどのように攻撃を成功させたのか　詳細な手口を公開

　LastPassによる主な報告内容は以下の通りだ。

• 1回目のサイバー攻撃は2022年8月12日に終了した
• サイバー攻撃者は2022年8月12日〜10月26日にかけて2回目のサイバー攻撃を実行した。クラウドストレージ環境を標的に偵察やデータ漏えい工作に取り組んだ他、1回目のサイバー攻撃で窃取した情報、他のデータ漏えいから得た情報、サードパーティー製ソフトウェアパッケージの脆弱（ぜいじゃく）性を利用して、組織的に2回目のサイバー攻撃を実行した。2回目のサイバー攻撃で観測された戦術や技術、手順（TTPs）およびセキュリティ侵害インジケーター（IoC）は1回目の攻撃とは一致しておらず、当初この2つのサイバー攻撃に関連性があるかどうかは不透明だった
• 1回目と2回目のサイバー攻撃が実行された際、アラートとログは有効になっていたが、サイバー攻撃は通知されなかった。サイバー攻撃者はシニアDevOpsエンジニアから窃取した有効な認証情報を使って共有クラウドストレージにアクセスしていたため、サイバー攻撃者と正当な活動を区別することが難しかった。最終的に、サイバー攻撃者がIdentity and Access Management（IAM）を悪用して不正な活動をした段階で、監視サービス「Amazon GuardDuty」が異常を検知した
• サイバー攻撃者はクラウドストレージへのアクセスに必要な復号鍵にアクセスできる4人のDevOpsエンジニアのうち1人を標的とした。該当エンジニアの自宅PCで使われているサードパーティー製のメディアソフトウェアパッケージの脆弱性を悪用してリモートコード実行でキーロガーのマルウェアに感染させることに成功。この後、該当エンジニアが多要素認証（MFA）で認証した後に入力されたマスターパスワードを窃取した。ここで得られたパスワードを使うことでDevOpsエンジニアのLastPassデータストレージにアクセスできるようになった

　LastPassは調査結果に基づいて各種対策を実施している。また、さらに安全性を確保するためにユーザー自身が作業を行う必要があるとし、作業手順に関しては「What actions should you take to protect yourself or your business」のセクションに掲載されていると説明している。