パスワード管理「LastPass」で顧客データの盗難 手口に使われた“2段階攻撃”とは？ 弱点はエンジニアの自宅PC：この頃、セキュリティ界隈で

[鈴木聖子，ITmedia]

　パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。

パスワード盗難事件の手口を公開

　攻撃者はまず、盗んだ情報や外部から入手した情報を悪用し、エンジニアの自宅PCを侵害して入手したパスワードで多要素認証を突破。これを踏み台としてLastPassに2段階目の攻撃を仕掛けて暗号化されたクラウドストレージに侵入し、顧客データを盗み出していた。

　同社のブログによると、最初の攻撃が発覚したのは22年8月だった。社内の開発環境で異常な挙動を検出。調査した結果、開発者のアカウントが侵害されており、開発環境に不正アクセスされ、ソースコードや技術情報が盗まれていたことが分かった。

LastPassのブログ

　翌月には、米大手セキュリティ企業Mandiantの協力を得て8月の事案に関する調査を完了したと説明。不正アクセスされた開発環境は、本番環境とは物理的に切り離されており、直接的には接続されていないことなどから、この時点で「顧客のデータや暗号化されたパスワードがアクセスされた形跡はない」と言明した。さらに、攻撃者の活動は8月中の4日間のみだったと断定し、攻撃は食い止めて再発防止策を講じたとしていた。

しかし、実は終わっていなかった……

　ところがそれで終わりではなかった。攻撃者は最初の攻撃を終えた8月12日から10月26日にかけ、照準を切り替えてクラウドストレージ環境に狙いを定め、ひそかに偵察活動や情報を抜き取る活動を続けていた。

　LastPassがそれに気付いたのは11月。クラウドストレージで不審な挙動を検出し、調べたところ、8月の攻撃で流出した情報が悪用されて顧客情報が流出していたことが分かったと発表した。被害に遭ったストレージは暗号化されていたが、攻撃者はそれまでの攻撃で盗んだ従業員のパスワードや、サードパーティーから流出したパスワードなどを利用して防御を突破していた。

　そうした事態を防ぐためのアラートやログは有効になっていたが、すぐには異常を検知することができなかった。攻撃者は同社のシニアDevOpsエンジニアから盗んだパスワードを利用して、共有クラウドストレージ環境にアクセスしていた。そのため、正規の挙動と攻撃者の挙動を見分けることが難しかったという。

　このAWSのS3クラウドストレージは暗号化されており、アクセスするためにはAWSアクセスキーとLastPassが生成した復号キーを入手する必要があった。そこで攻撃者が標的としたのが、DevOpsエンジニア4人のうちの1人だった。

エンジニアの自宅PCにソフトウェアの脆弱性

　エンジニアの自宅PCに狙いを定めた攻撃者は、サードパーティーのメディアソフトウェア（Plexだったと報じられている）の脆弱性を突いてキーロガー型マルウェアを仕込み、このエンジニアが入力したマスターパスワードを入手して多要素認証を突破。このエンジニアが使っているLastPassのシステムにアクセスを確立し、AWS S3に保存された情報にアクセスするためのアクセスキーと暗号キーを手に入れた。

　攻撃者はこのストレージから、顧客の社名やエンドユーザー名、IPアドレスといった情報のバックアップの他、ユーザー名とパスワード、フォームに入力されたデータなどの情報をコピーした。

　ただ、そうした情報は256ビットのAES暗号で保護されており、各ユーザーのマスターパスワードから生成した個別の暗号キーを使わない限り、復号できないとLastPassは強調する。マスターパスワードはLastPassでは保存も管理も行っていないという。

　ユーザーが管理しなければならないパスワードが増え続ける中で、LastPassのようなパスワード管理ツールは、安全で効率的な管理手段として推奨されてきた。今回のような事案はあっても、やはりパスワード管理ツールは使用するメリットがあるという専門家の見解に変わりはないようだ。

　ただしLastPassには厳しい目が向けられている。米メディアMotherboardは「機密情報を銀行の金庫ではなく、クローゼットに保管していたようなもの」と同社を批判し、「企業に対するハッキングは常に起きる。しかしパスワード管理会社は普通のIT企業やサイトではない。人々の最も貴重な秘密の管理者であり、そのような扱いが求められる」と指摘した。