LastPass のシステムで不正侵入:8月に窃取された情報により顧客データにアクセスか?

Lastpass says hackers accessed customer data in new breach

2022/11/30 BleepingComputer — LastPass の発表によると、2022年8月に発生したセキュリティ・インシデントで窃取した情報を悪用する未知の攻撃者が、同社のクラウド・ストレージに侵入し、顧客データへのアクセスに成功したようだ。 LastPass は、「当社と関連会社である GoTo の両社が現在共有している、サードパーティのクラウド・ストレージ・サービス内における異常な活動を検出した。不正な第三者が、2022年8月のインシデントで入手した情報を悪用して、顧客データの特定の要素にアクセスしたようだ」と述べている。

LastPass は、この攻撃について、セキュリティ会社である Mandiant に調査を依頼し、法執行機関に通告したという。

また、同社は、「顧客のパスワードは漏洩しておらず、LastPass の Zero Knowledge アーキテクチャにより、安全に暗号化された状態を維持している。我々は、このインシデントの詳細を把握し、どのような情報がアクセスされたかを特定すべく、具体的な調査を行っている」と述べている。

今年2回目の不正アクセス

この、LastPass の件は、8月に発生した開発者アカウントの侵害に続いて、今年で2番目のセキュリティ・インシデントとなる。このインシデントに対するアドバイザリは、BleepingComputer が同社へ問い合わせた数日後に発表された。

その当時の LastPass は、攻撃者が同社のシステムからソースコードと独自の技術情報を盗み出したことを、顧客に対してメールで通知している。その後の情報アップデートにおいて、8月のセキュリティ侵害では、検知から排除までの4日間にわたり、同社のシステムへの内部アクセスを、攻撃者が維持していたことを明らかにした。

LastPass は、最も人気なパスワード管理ソフトウェアの1つであり、3300万人以上のユーザーと 10万社の企業に利用されている。

LastPass への攻撃が、執拗に繰り返されていますね。これまでの経緯については、8月27日の「LastPass に脅威アクターが侵入:ソースコードの一部が盗み出された影響は?」と、9月12日の「LastPass のシステムで発生した不正侵入:4日間にわたる不正アクセスが判明」を、ご参照ください。また、2021年12月の「LastPass ユーザーのマスター・パスワードが侵害された?」も関連しているのかもしれません。よろしければ、MFA で検索も、ご利用ください。

%d bloggers like this: