Hackers Had Access to LastPass’s Development Systems for Four Days
2022/09/17 TheHackerNews — パスワード管理ソリューションの LastPass は、2022年8月に発生したセキュリティ・インシデントの詳細を公開し、脅威者が 8月の4日間にわたり、同社のシステムに不正にアクセスしていたことを明らかにした。LastPass の CEO である Karim Toubba は、9月15日に公開されたアップデートで、「観測されたタイムラインを超える脅威者の活動の証拠はない。また、このインシデントにおいて、脅威者が顧客データ/暗号化パスワード保管庫へアクセスした形跡もない」と付け加えている。
8月下旬に LastPass は、同社の開発環境を狙った侵入により、ソースコードの一部と技術情報が盗まれたことを明らかにしている。しかし、それ以上の具体的な内容は明らかにされていなかった。
同社は、インシデント・レスポンス会社の Mandiant と共同で取り組んだハッキング調査を完了したとして、脅威アクターによる不正アクセスは、漏洩した開発者のエンドポイントを使用して達成されたと述べている。
最初の侵入の正確な方法は、現時点では確定されていないが、多要素認証で被害者がログインした後に、脅威アクターが開発者になりすまことで、持続的なアクセスを悪用したと、LastPass は指摘している。
このような事故を防止するためのシステム設計とゼロトラスト制御により、不正アクセスに成功した攻撃者だが、顧客の機密データの取得には失敗したと、同社は繰り返し述べている。この防止策には、開発環境とプロダクション環境の完全な分離と、顧客のパスワード保管庫にアクセスする際には、ユーザーが設定したマスター・パスワードが不可欠なデザインが含まれているという。
Toubba は、「マスター・パスワードがなければ、保管庫の所有者以外が保管庫のデータを復号することはできない」と指摘している。彼はさらに、ポイズニングの兆候を探すために、ソースコードの整合性チェックを行った。その結果として、開発環境からプロフダクション環境に直接ソースコードをプッシュするのに必要な権限を、開発者は所有していないと述べている。
LastPass は、ソースコードの安全性を高めるために、一流のサイバーセキュリティ企業のサービスを利用し、同社のシステムを狙った攻撃を適切に検知・防止するための、エンドポイント・セキュリティのガードレールを追加導入したと加えている。
LastPass に関しては、2021年12月にも「LastPass ユーザーのマスター・パスワードが侵害された?」という記事がありました。そして、2022年8月27日の「LastPass に脅威アクターが侵入:ソースコードの一部が盗み出された影響は?」が、今回のインシデントに関する第一報となります。今日の記事を読む限り、多重の防御層が功を奏して、顧客の機密データは守られたようです。ここで、話が終わって欲しいですね。
IoT OT Security News 
You must be logged in to post a comment.