LastPass Admits to Severe Data Breach, Encrypted Password Vaults Stolen
2022/12/23 TheHackerNews — 2022年8月に発生した LastPass におけるセキュリティ侵害は、以前に同社が公表したよりも深刻なものだった可能性があるという。木曜日に、人気のパスワード管理サービスである LastPass は、前回の侵入で吸い上げたデータを悪意の行為者が利用し、暗号化されたパスワード保管庫を含む、同社の顧客に属する個人情報の山を入手したことを明らかにした。
LastPass は、「会社名/エンドユーザー名/請求先住所/メールアドレス/電話番号などに加えて、顧客が LastPass サービスにアクセスしていた IP アドレスなどの顧客のアカウント情報と関連するメタデータも盗まれた」と述べている。
2022年8月に発生したインシデントは、現在も調査中のものであるがで、その犯人は侵害した従業員アカウントを介して、同社の開発環境からソースコードや独自の技術情報にアクセスしたとされる。
LastPass は、それにより正体不明の攻撃者が認証情報とキーを取得し、その後に、クラウドベースのストレージ・サービスに保存されたバックアップから、情報を抽出するために使用したと述べている。ただし、このストレージと、同社のプロダクション環境は、物理的に分離されていることを強調している。
さらに、この攻撃者は、暗号化されたストレージ・サービスから、顧客のデータ保管庫のデータをコピーしたと言われている。このデータは、Web サイト URL などの暗号化されていないデータと、Web サイトのユーザー名/パスワード/セキュアメモ/フォーム・データなどの、完全に暗号化されたフィールドの両方を含む、独自のバイナリ形式で保存されている。
これらのフィールドは、256 Bit AES 暗号で保護されており、ユーザーのデバイス上で、ユーザーのマスター・パスワードから得られるキーによってのみ、復号が可能だと、同社は説明している。
LastPass は、暗号化されていないクレジットカード情報は、クラウド・ストレージ・コンテナに保存されていないため、このセキュリティ上の問題が発生していないことを確認している。
同社は、一連のバックアップに関する鮮度については明らかにしていないが、この脅威アクターがブルートフォース攻撃を用いて、ユーザーのマスター・パスワードを推測し、取得したデータ保管庫のコピーを復号化するかもしれないと述べている。さらに、ソーシャル・エンジニアリングやクレデンシャル・スタッフィング攻撃などで、顧客を標的にする可能性もあると警告している。
マスター・パスワードを予測するブルートフォース攻撃の成功率は、パスワードの強度に反比例する。つまり、パスワードを推測するのが簡単であれば、パスワードを解読するために必要な試行回数が少なくなることを、この段階で指摘しておく必要がある。
LastPass は、「マスター・パスワードを再利用し、そのパスワードが漏洩したことがある場合には、インターネット上で公開済の漏洩した認証情報のダンプを使用して、脅威アクターがアカウントへのアクセスを試みるかもしれない」と注意を促している。
Web サイトの URL が平文であるということは、マスター・パスワードの解読に成功した攻撃者が、特定のユーザーがアカウントを持つ Web サイトを知ることが可能となり、さらなるフィッシング攻撃や認証情報窃盗が可能になることを意味する。
さらに同社は、企業企業の 3% 未満に相当する一部の顧客に対して、アカウント設定に基づく行動を取るよう通知したと述べている。
今回のインシデントは、GitHub にホストされている Okta の Workforce Identity Cloud (WIC) リポジトリに不正アクセスした攻撃者が、ソースコードをコピーしたことを Okta が認めた数日後に発生したものである。
この LastPass の門外に関しては、2022年8月27日の「LastPass に脅威アクターが侵入:ソースコードの一部が盗み出された影響は?」および、9月17日の「LastPass のシステムで発生した不正侵入:4日間にわたる不正アクセスが判明」、11月30日の「LastPass のシステムで不正侵入:8月に窃取された情報により顧客データにアクセスか?」で紹介しています。まだまだ、続報がありそうなインシデントです。
IoT OT Security News 
You must be logged in to post a comment.