LastPass のデータ侵害：エンジニアの自宅 PC が企業ストレージへの侵入経路に

LastPass breach: Hacker accessed corporate vault by compromising senior developer’s home PC

2023/02/28 HelpNetSecurity — 2022年8月に発生した LastPass の開発環境への侵害と、その後に発生したバックアップ・ホストのサードパーティ・クラウド・ストレージ・サービスへの不正アクセスに関して、同社から顧客へを通知が改めて行われた。同社の通知には、「脅威アクターたちは、最初のインシデントで盗み出した情報や、サードパーティのデータ漏えいから得た情報に加えて、サードパーティのメディア・ソフトウェア・パッケージの脆弱性などを悪用することで、協調的な第２の攻撃を開始した」と記されている。２つの侵害の影響は壊滅的であり、盗まれた／危険にさらされたデータと、機密情報のリストは広範囲に及んでいる。

LastPass の企業データ・ストレージへの侵入経路

LastPass は２回目のインシデントについて、当初は見過ごされていたと述べている。１回目と２回目のインシデントでは、戦術／技術／手順 (TTPs：Tactics, Techniques, and Procedures) と、侵害の指標 (IOCs：Indicators of Compromise) が異なっていた。しかし、後になって、この２つのインシデントが関連していると判断された。

同社は、「２回目のインシデントでは、脅威アクターが１回目のインシデントで流出させた情報を、当社チームがリセットを完了する前に素早く利用し、クラウド・ストレージ・リソースからデータを列挙し、最終的に流出させた」と説明している。

この脅威アクターは、それを実行した方法は、どうなっていたのだろうか？ 彼らは、以下のような手順で、Senior DevOps エンジニアからアクセス情報を盗み出していた。

• DevOps エンジニアの自宅のコンピューターを標的にし、脆弱なサードパーティーのメディア・ソフトウェア・パッケージ (情報源：Ars Technica) を悪用して、リモート・コード実行をできるようにした。
• その機能を利用してキーロガーを埋め込み、従業員が MFA で認証した後に、従業員のマスター・パスワードを取得した。
• そして、エンジニアの LastPass 企業用データ・ストレージへ侵入した。

LastPass は、「企業ストレージに侵入した脅威アクターは、アクセスキー／復号化キーを備え、暗号化されたセキュアノートを含む、ネイティブ企業ストレージのエントリと、共有フォルダ上のコンテンツをエクスポートした。それにより、AWS S3 の LastPass プロダクション・バックアップ／その他のクラウドベースのストレージ・リソース／関連する一部の重要なデータベース・バックアップなどにアクセスが可能になった」と述べている。

同社は、攻撃者の動機や、その身元などは依然として分かっていない。この脅威アクターからの接触や要求はなく、彼らがインシデントで得た情報のマーケティングや販売に、アンダーグラウンドで積極的に従事していることを示す、信頼できる情報も検出されていない」と加えている。

サービスや企業の相互接続性が達成されたレベルにおいては、サプライチェーンのサードパーティへの侵害が、実質的に日常的になっている。したがって、別のターゲットの足がかりに過ぎなかった可能性も考えられると、同社は述べている。

LastPass ユーザーがすべきこと

どの DevOps エンジニアをターゲットにするのかを、脅威アクターがピンポイントで特定し、最終的に彼らのコンピュータへの侵入に成功したのが興味深いところだ。しかし、この種の “個人的” アプローチは、決して珍しいことではなく、公表されているよりも頻繁に行われている可能性すらある。

このインシデントについて、LastPass は依然として公式なコメントを発表していないが、同社が法人顧客に対して密かに開始した通知が流出したことで、その全容を知ることができた。

ココで、通知のコピーは入手できる。LastPass Business／Teams および Free／Premium／Families などの顧客を対象に、彼ら自身と彼らの組織を、この侵害の影響から保護するために取るべき、推奨ベストプラクティスとアクションが提示されている。

DevOps のエンジニアをピンポイントで狙うところから、一連のインシデントが始まったようです。この記事を訳していて思い出したのは、2021/09/10 の「国連のネットワーク侵害が判明：ダークウェブ上のログイン情報が悪用される？」という記事です。そこには、「国連をはじめとする国際機関は、サイバー犯罪者や国家支援の活動家にとって、何ものも比類しないターゲットである、そして、残念なことに、その職員が所有するログイン認証情報が、ダークウェブで販売されていることを見つけるのは、とても簡単なことだ」記されていました。また、2022/10/21 には、「RockYou2021 にエントリーされる 84億のパスワード：攻撃で悪用される 50万のパスワードとの関係は？」という記事もありました。よろしければ、LastPass で検索も、ご利用ください。