LastPassの漏えい事件、クラウドストレージのデータ復号キーも取得か
LastPassは2022年8月に発生したセキュリティインシデントに関する最新の調査報告を開示した。脅威アクターはバックアップストレージに侵入後、ユーザーの基本アカウント情報などを不正コピーしていたとみられる。
パスワード一元管理ツール「LastPass」を提供するLastPassは2022年12月22日(現地時間)、同社のブログで、同年8月に発生した開発環境からソースコードの一部と技術情報がサイバー攻撃者によって窃取されたインシデントについて、追加情報を開示した。このインシデントは、当初報告されていたよりも深刻だった可能性が指摘されている。
脅威アクターはバックアップ用のクラウドストレージに侵入か
LastPassは2022年8月にサイバー攻撃を受け、同社の開発環境からソースコードの一部と技術情報が窃取され、サイバー攻撃者がユーザー情報の一部にアクセスしていたと報告していた。
追加の情報開示によれば、サイバー攻撃者は2022年8月に取得した情報を利用してバックアップ用のクラウドベースのストレージサービスにアクセスし、データを窃取した。窃取されたデータには、ユーザー名や会社名、請求先住所、メールアドレス、電話番号、アクセス元IPアドレスなどユーザーの基本アカウント情報および関連メタデータなどの情報が含まれていた。
また、窃取されたデータにはWebサイトのURLといった暗号化されていないデータとユーザー名やパスワードといった暗号化されたデータがあり、暗号化されたデータについては、ユーザーのマスターパスワードから生成される固有の暗号化鍵によってのみ復号が可能とされている。なお、マスターパスワードは「LastPass」には保存されることはないという。
ただし、LastPassは、脅威アクターが総当り攻撃(ブルートフォース攻撃)によってマスターパスワードを推測し、復元を試みる可能性があると説明している。LastPassの提唱するパスワードのベストプラクティスに従っている限り、総当り攻撃でマスターパスワードを推測するのは困難とされているが、脆弱(ぜいじゃく)なパスワードを使っている場合はリスクが高まる危険性がある。
その他、脅威アクターはマスターパスワードを得るためにフィッシング攻撃やクレデンシャルスタッフィング、ユーザーが利用する他のオンラインサービスに総当り攻撃などを実行してマスターパスワードにつながる情報の窃取を試みる可能性がある。LastPassは「電話やメール、テキストでユーザーに基本情報を確認するためのリンクのクリックを求めたり、マスターパスワードの入力を求めたりすることはない」とし、こうしたサイバー攻撃に注意するように呼びかけている。
LastPassに関するセキュリティインシデントは現在も調査中とされている。今後も情報が明らかになり次第情報を公開するとされている。
関連記事
- パスワード管理のLastPass、2度目のセキュリティインシデントを報告
パスワード一元管理ツール「LastPass」を提供するLastPassはセキュリティインシデントを報告した。使用中のクラウドストレージサービス内で異常なアクティビティーが検出されたとしている。 - 富士通のインターネット回線サービスで不正な通信を確認 TKCが影響公表
富士通は、FENICSインターネットサービスを構成する一部のネットワーク機器が外部に対して不正な通信を実行していたと報告した。同サービスを使っている企業のうちTKCがインシデントに関連した報告を発表している。 - LinuxカーネルにCVSS10.0の脆弱性 SMBサーバでリモート実行のリスク
Zero Day InitiativeはLinuxカーネルの「ksmbd」にリモートコード実行の脆弱性が存在すると発表した。この脆弱性はCVSSスコア値が10.0で深刻度「緊急」(Critical)に分類される。 - 「ProxyNotShell」の緩和策をバイパスする新たな攻撃手法が見つかる、急ぎ対処を
Exchange Serverに見つかったリモートコード実行の脆弱性、通称「ProxyNotShell」を悪用した新たな攻撃手法が見つかった。既に悪用も確認済みだ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.