LastPassのCEO、サイバー攻撃に関する教訓と後悔を振り返る：Cybersecurity Dive

LastPassにおいて2022年最大のセキュリティ上の失策となったサイバー攻撃から約1年が経過し、CEOのカリム・トゥーバ氏は一連の出来事について話す準備ができたようだ。

[Matt Kapko，Cybersecurity Dive]

　カリム・トゥーバ氏のLastPassでの蜜月はあまりに短かった。彼がCEOとして入社して4カ月もたたないうちに、2022年に最も注目されたセキュリティ上の失策に発展するサイバー攻撃が発生した（注1）。

　LastPassが顧客に初めて侵害を通知したのは2022年8月だった。しかし、全ての顧客のボールトデータや暗号化されたパスワード、ユーザー名、フォームに入力されたデータを含むクラウドベースのバックアップが、攻撃者によって盗まれたことをLastPassが明らかにしたのは2022年が終わる数日前だった。

　LastPassが保存・管理していないマスターパスワードは漏えいしなかった（注2）。これが大惨事を防ぐことにつながったと思われる重要な点である。

LastPassが不正アクセス被害で得た教訓

　トゥーバ氏にとっての教訓は、重要な情報を7カ月かけて少しずつ開示した同社の対応にある。

　「最終的に、私たちは透明性を確保できたと思う。時間こそかかったがそこには2つの問題と改善の余地、学んだ教訓がある」とトゥーバ氏は話す。

　「LastPassはより早く情報を開示すべきであり、全ての情報がまとまってから開示するような対応をすべきではなかった」と彼は語る（注3）。本件において、同社から情報が完全に公開されたのは2023年3月であり、トゥーバ氏が投稿したサイバー攻撃に関する5つ目のブログ記事によるものだった（注4）。

　しかし、最悪の事態は過去のものとなったようだ。トゥーバ氏によると、LastPassは2022年10月下旬以降、攻撃者の活動を観測しておらず、また、そのような通知も受けていないという。さらに、LastPassから盗まれたデータが原因で顧客が被害を受けた形跡も、パスワードマネジャーにはないとのことだ。

　パスワードマネジャーからの情報漏えいに続いて起こったコミュニケーションの混乱の全責任を負い（注5）、トゥーバ氏は2023年6月9日のインタビューで「全ての情報がそろうまで沈黙を貫く対応とは対照的に、情報を市場に細かく発信することで、進捗を示せる」と語り、今後はより透明性を高めると約束している。

　情報を非公開にするという決断は、事故対応と情報伝達の過程で激しく議論されたが「振り返ってみると、もっとうまくできたはずだ」とトゥーバ氏は述べている。

LastPassは顧客の信頼を取り戻せるか？

　DevOpsに関する機密や設定データ、APIに関する機密、サードパーティーとの統合に関する機密およびLastPassの多要素認証データベースのバックアップをはじめとした被害の全容を開示した後、LastPassは今も自社に対する信頼の危機と戦っている。

　2023年の第1四半期には、LastPassの顧客更新率が約8％落ち込んだとトゥーバ氏は話す。同氏は顧客更新率の公表を避けたが、更新率は2023年の末までに以前の平均値に戻る見込みのようだ。

　トゥーバ氏によると、現在LastPassには約11万5000人の顧客がいる。

　2023年のはじめには、サイバーセキュリティ事業を営むNetenrichのCISO（最高情報セキュリティ責任者）であるクリス・モラレス氏を含む一部の顧客が去った。

　「私はLastPassが好きだ。しかし、彼らは選択を誤り、そのことが2022年に明らかになり、私たちはぼうぜんとするばかりだった」とモラレス氏は2023年3月の電話インタビューで語っている。

　その驚きは、LastPassが調査終了間際に共有したある重大な情報からもたらされた。パスワードマネジャーの復号キーにアクセス可能な4人のDevOpsエンジニアのうち1人が、マルウェアが混入した自宅の個人デバイスに手動でマスターパスワードを入力したというのだ。

　「彼らは全てのルールを破った。LastPassが失敗したのは鍵の管理だったのだ」とモラレス氏は言う。

　トゥーバ氏は「顧客の信頼を取り戻すためには、より多くの改善が必要だ。しかし遅れたとはいえ、広範な情報共有やLastPassの顧客に対する広範な働きかけ、技術のアップグレードを実現した点は顧客からの信頼を取り戻すために役立っている」と語る。

　トゥーバ氏は数カ月間で200以上の顧客と過ごした。「ビジネスリーダーはサイバー攻撃に慣れており、攻撃を受けたことだけで他の会社を見限ることはない。彼らは、その会社が攻撃にどのように対処し、その後の事態にどのように対処したかで判断する」（同氏）

　顧客との間で必要だったコミュニケーションについて、LastPassは幾つかミスを犯した。「しかしこの機会にチームを強化し、チームが実施するプロセスを強化し、そしてテクノロジースタックを強化することも重要だと感じていた。これら全てのことが、自信を取り戻すために役立つはずだ」とトゥーバ氏は語った。

　この空白の時間がLastPassに有利に働く可能性もある。

パスワードマネジャーに関する展望

　トゥーバ氏は同社に入社する際、パスワードマネジャーに関連して責任を持って対処しなければならない脅威について認識していた。しかし、その単一のリスクのみを理由として、パスワードマネジャーに対する信頼を手放す必要はないとも考えていた。

　トゥーバ氏は「このような事件があったにもかかわらず、パスワードマネジャーが提供する価値は依然として高いと考えている。特に、パスワードマネジャーが提供する全ての機能と性能を十分に活用できるのであれば、市場全体にとって有意義なものとなるだろう」と話す。

　さらにトゥーバ氏は「皮肉なことに、今回の事件に関係なく、パスワード管理のために重要なのは、同じパスワードを使い回さないことである」と話す。

　「保有しているデータの性質から、私たちは今後も攻撃者の標的になるだろう。今回の事件は、パスワード管理だけを問題とするものではない。攻撃者にとって価値のある情報が企業や組織に集約されているという環境の問題でもあるのだ」とトゥーバ氏は言う。

　これはLastPassだけの問題ではない。OktaやTwilio、KeePassなど、多くのアクセスおよび認証システムプロバイダーが過去1年間に標的にされてきた（注6）（注7）（注8）。攻撃者たちは最近、ファイル転送サービスに注目しており、これも多くの連鎖的な攻撃につながる恐れがあるものだ（注9）。

　2022年8月から2023年3月までの間、LastPassがアップデートを重ねるたびにサイバー攻撃は悪化の一途をたどったが、トゥーバ氏はパスワードマネジャーがより強力で安全なプラットフォームになると断言する。

　「CEOの任期が始まったばかりの時期に、危機にひんした組織がどのように対処するかを間近で観察することは、めったにできることではない」とトゥーバ氏は言う。

　「困難な状況だったが、今後、私たちが強力な組織になるための多くの成果があった」ともトゥーバ氏は述べている。

　「過去の数十年間で学んだことの一つは、セキュリティは進化し続けるものであり、終わりがないということだ。それは、攻撃者も同様に進化しているためである。これらの問題に対して、私たちが今後も関与し続け、広くオープンな形で、対話していく様子を皆さんに見てもらえるだろう」（トゥーバ氏）

（注1）LastPass breached, portions of source code stolen, CEO says（Cybersecurity Dive）
（注2）After LastPass hack, only its master passwords remain uncompromised（Cybersecurity Dive）
（注3）LastPass breach timeline: How a monthslong cyberattack unraveled（Cybersecurity Dive）
（注4）Security Incident Update and Recommended Actions（LastPass）
（注5）LastPass CEO admits disclosure mistakes, pledges improved communications（Cybersecurity Dive）
（注6）Okta’s GitHub source code stolen, company downplays impact（Cybersecurity Dive）
（注7）Twilio discloses more victims as phishing attack effects cascade（Cybersecurity Dive）
（注8）KeePass master password manager at risk as users await patch（Cybersecurity Dive）
（注9）What we know about the MOVEit vulnerabilities and compromises（Cybersecurity Dive）

原文へのリンク