LastPass Breach Reveals Important Lessons
2023/04/13 DarkReading — LastPass の情報漏えいは、ある種の典型的な出来事として記憶されるだろう。この2022年8月に発生した情報漏えいの爆発半径は、6ヶ月の間に悪い状態から破滅的な状態にまで拡大した。当初、LastPass の CEO は侵害の封じ込めを宣言した。しかし、2022年11月に未知の脅威アクターが、8月のインシデントで得た情報を使って、LastPass のクラウドベース・ストレージ環境と暗号化されたパスワード保管庫にアクセスしたことが発覚した。そして、2022年末までに LastPass は、暗号化されたパスワードやユーザー名などの、顧客データが漏洩したことを認めた。
2023年3月3日に、LastPass のデータ漏洩の根本原因が、意外にも基本的なものであったことが明らかになった。攻撃者は、LastPass の DevOps エンジニアの個人所有のコンピュータで、その従業員が個人的に使用していたとされる、Plex というサードパーティ製メディア・ソフトウェア・パッケージの古い脆弱性から侵入を果たして。その結果として、このコンピュータはキーロガーに感染し、脅威アクターは部分的に暗号化されたパスワード保管庫の、データおよび顧客情報を盗むことができた。
最近になって明らかになった、LastPass のデータ漏洩の詳細は、ユーザー組織にとって、特にセキュリティ企業にとって、重要な教訓を与えてくれた。
BYOD ポリシーの遵守: 特権を持つユーザーの必須事項
機密性の高い資産にアクセスできる LastPass のエンジニア4名が、個人用アプリケーション走らせる個人用のデバイスを、業務に使用できていたことが問題である。個人所有のデバイスは、会社支給のデバイスと同等のセキュリティ・プロトコルやパッチがないことが多く、また、プライベートでの使用や、家族による使用もあるため、漏洩のリスクが大幅に高まる可能性がある。Action1 の調査によると、リモートワーカーが陥りやすいリスクの高い行動のトップとして、会社支給のデバイスを家族が、仕事とは無関係な用途で使用することだと、IT プロフェッショナルの 43% が回答しているという。
これらのリスクを軽減するために、組織は、すべてのユーザーに対して、特に特権的なユーザーに対して適用される、厳格なセキュリティ・ポリシーを持つ必要がある。定期的なセキュリティ・アップデートとプロトコルの対象となる、会社所有のデバイスを発行することがベスト・プラクティスだ。しかし、個人所有のデバイスを業務で使用する場合には、強固な BYOD (Bring-Your-Own-Device) ポリシーの確立が必要となる。具体的に言うと、個人所有のデバイスに対して、定期的なアップデート/マルウェア対策ソフトウェア/多要素認証 (MFA) などの、会社が発行するデバイスと同等のセキュリティ対策を適用することが不可欠となる。
レガシー脆弱性でエンドポイントを危険にさらさないために
LastPass の情報漏洩事件では、攻撃者が悪用したのは、 Plex というサードパーティ製のメディア・ソフトウェア・パッケージに存在する脆弱性である。この、古い脆弱性に対して、かなり以前に Plex はパッチを発行していたが、LastPass の従業員のマシンは更新されていなかった。そこで浮き彫りにされるのは、企業によるパッチ管理の重要性と、サードパーティ製ソフトウェアに対する警戒である。
また、従業員のマシンにインストールされているソフトウェアを監視し、企業セキュリティ・ポリシーへの準拠のも確認も重要である。しかし、レガシー・セキュリティ脆弱性に関して言うなら、未承認のサードパーティ製ソフトウェアだけではなく、Web ブラウザなどの一般的なアプリケーションに存在する場合もある。サイバー・セキュリティを考える上で、OS とサードパーティ製アプリに対して、自動的にパッチ適用することの重要性を過小評価してはいけない。
簡単にバイパスされる MFA を避ける
LastPass の不正アクセスは、MFA の限界も浮き彫りにしている。このインシデントでは、キーロガー・マルウェアが従業員の MFA トークンを捕捉し、それを悪用する攻撃者が、セキュリティ対策を回避していった。つまり、すべての MFA 方式が、同じように安全であるとは限らないことを示している。
MFA は普及しているが、多種多様な MFA 方式ごとの違いを十分に理解せずに、MFA を採用している組織があるということだ。SMS/電子メール/専用アプリにより、認証を提供するサービスは数多くある。しかし、現実には、ハードウェア・トークンを使った MFA が最も安全である。ハードウェア・トークンは、傍受や複製が困難な固有のパスコードを生成し、インターネットや携帯電話の接続に依存しないため、機密性の高い資産を持つサービスへの、アクセスを確保するためには考慮されるべきだ。
製品やインフラに最初からセキュリティを組み込もう
LastPass は、自社製品における高度なセキュリティ対策を宣言していたが、今回の侵害により、様々な領域にギャップが存在することが明らかになった。たとえば、LastPass は MFA シードとスプリット・ナレッジ・コンポーネント (K2) キーを一緒に保管していた。したがって、LastPass MFA/federation データベースの暗号化バックアップの復号キーを入手した攻撃者は、それらにアクセスできるようになった。つまり、このような機密性の高い資産は、別々に保管されるべきだったと思われる。さらに、LastPass は。強力なマスター・パスワードの導入をユーザーに求めているが、これらの対策は常に実施されているわけではなく、一部の専門家が指摘するように、通知も不十分だという可能性がある。
この一件が示唆するのは、ニーズを満して市場を獲得するための、ビジネス要求に対応して IT アーキテクチャが作り出され、そこに ITセキュリティが組み込まれるのは、後になってからという典型的な状況が発生したことだ。その結果として、セキュリティ・ポリシーを導入することや、それに合わせてアーキテクチャを再設計することが難しくなってしまう。したがって、製品開発の初期段階から IT セキュリティを考慮するのが良いだろう。
まとめ
基本的なサイバー・セキュリティ対策で、多くの場合ではサイバー攻撃を防ぐことができる。しかし、セキュリティ企業であっても、ミスをすることがある。私たちは、このような失敗から学び、自らのセキュリティ対策を向上させる必要がある。
LastPass における侵害ですが、エンジニアの個人デバイスの Plex の脆弱性が原因だったことは、2023/03/07 の「LastPass ハッキングの全容を解明:エンジニアの自宅のメディアサーバが侵入経路だった」でも紹介されています。今日の記事では、こうしたインシデントを起こさないために、いくつかの視点が提供されています。よろしければ、以下の関連記事も、ご参照ください。
2023/02/28:エンジニアの自宅 PC が侵入経路に
2023/01/14:CircleCI/LastPass/Okta/Slack が標的
2022/12/23:暗号化されたパスワードなどが盗み出された
2022/11/30:8月に窃取された情報により顧客データにアクセスか?
2022/09/17:4日間にわたる不正アクセスが判明
2022/08/27:ソースコードの一部が盗み出された影響は?
2021/12/28:LastPass のマスター・パスワードが侵害された?
IoT OT Security News 
You must be logged in to post a comment.