ニュース
LastPassはどのように侵入を許したか? 自社を狙ったサイバー攻撃の詳細な手口を公開
LastPassは2022年8〜10月に発生した同社を標的としたサイバー攻撃に関する詳細な調査結果を公開した。サイバー攻撃者がどのようにして共有クラウドストレージにアクセスしたのかが詳細に解説されている。
パスワード一元管理ツール「LastPass」を提供するLastPassは、2022年8〜10月にかけて実行された同社を標的にしたサイバー攻撃に関する最新の調査結果を報告した。
調査から、サイバー攻撃は同一の脅威アクターによって実行されていたことやLastPassのDevOpsエンジニアの自宅PCをマルウェアに感染させてマスターパスワードを窃取していたことなどが明らかになった。
攻撃者はどのように攻撃を成功させたのか 詳細な手口を公開
LastPassによる主な報告内容は以下の通りだ。
- 1回目のサイバー攻撃は2022年8月12日に終了した
- サイバー攻撃者は2022年8月12日〜10月26日にかけて2回目のサイバー攻撃を実行した。クラウドストレージ環境を標的に偵察やデータ漏えい工作に取り組んだ他、1回目のサイバー攻撃で窃取した情報、他のデータ漏えいから得た情報、サードパーティー製ソフトウェアパッケージの脆弱(ぜいじゃく)性を利用して、組織的に2回目のサイバー攻撃を実行した。2回目のサイバー攻撃で観測された戦術や技術、手順(TTPs)およびセキュリティ侵害インジケーター(IoC)は1回目の攻撃とは一致しておらず、当初この2つのサイバー攻撃に関連性があるかどうかは不透明だった
- 1回目と2回目のサイバー攻撃が実行された際、アラートとログは有効になっていたが、サイバー攻撃は通知されなかった。サイバー攻撃者はシニアDevOpsエンジニアから窃取した有効な認証情報を使って共有クラウドストレージにアクセスしていたため、サイバー攻撃者と正当な活動を区別することが難しかった。最終的に、サイバー攻撃者がIdentity and Access Management(IAM)を悪用して不正な活動をした段階で、監視サービス「Amazon GuardDuty」が異常を検知した
- サイバー攻撃者はクラウドストレージへのアクセスに必要な復号鍵にアクセスできる4人のDevOpsエンジニアのうち1人を標的とした。該当エンジニアの自宅PCで使われているサードパーティー製のメディアソフトウェアパッケージの脆弱性を悪用してリモートコード実行でキーロガーのマルウェアに感染させることに成功。この後、該当エンジニアが多要素認証(MFA)で認証した後に入力されたマスターパスワードを窃取した。ここで得られたパスワードを使うことでDevOpsエンジニアのLastPassデータストレージにアクセスできるようになった
LastPassは調査結果に基づいて各種対策を実施している。また、さらに安全性を確保するためにユーザー自身が作業を行う必要があるとし、作業手順に関しては「What actions should you take to protect yourself or your business」のセクションに掲載されていると説明している。
関連記事
- LastPassの漏えい事件、クラウドストレージのデータ復号キーも取得か
LastPassは2022年8月に発生したセキュリティインシデントに関する最新の調査報告を開示した。脅威アクターはバックアップストレージに侵入後、ユーザーの基本アカウント情報などを不正コピーしていたとみられる。 - パスワード管理のLastPass、2度目のセキュリティインシデントを報告
パスワード一元管理ツール「LastPass」を提供するLastPassはセキュリティインシデントを報告した。使用中のクラウドストレージサービス内で異常なアクティビティーが検出されたとしている。 - 更新プログラム適用でWindows 11が起動しなくなる問題が発生 UIアプリが原因か
KB5022913を適用したWindows 11デバイスが起動しなくなる問題が確認された。サードパーティー製のUIカスタマイズアプリケーションを使用している場合、同問題が発生する可能性がある。 - Microsoft DefenderがMicrosoft 365インストーラーに追加
MicrosoftはMicrosoft 365インストーラーにアプリ版「Microsoft Defender」を同梱すると発表した。「Microsoft 365 Personal」と「Microsoft 365 Family」のサブスクリプションユーザーが対象になる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.