Stolen LastPass backups enable crypto theft through 2025
2025/12/28 SecurityAffairs — ブロックチェーン情報会社 TRM Labs が公表したのは、2022年の LastPass 侵害で盗まれた暗号化保管庫 (vault) バックアップに関する警告である。それらの保管庫に対しては、脆弱なマスター・パスワードによる解読の試行が現在も続いている。この問題は 2022年に遡るが、LastPass に侵入したハッカーが、機密認証情報を含む約 3,000万件の暗号化保管庫バックアップを盗み出すというインシデントに起因している。そこには暗号鍵が含まれているため、脆弱なマスター・パスワードを使って保管庫が解読されることで、リスクが数年にわたって継続することを、TRM の専門家たちは指摘している。つまり、2025年になっても、依然として暗号資産が盗まれるリスクが残っている。
ウォレットからの資金流出は 2024年から 2025年まで続き、盗まれた資金はミキサーを経由して高リスクのロシア取引所に到達した。この攻撃では、ロシアのサイバー犯罪インフラが繰り返し用いられ、ウォレットが継続的に管理されていることを、TRM Labs が確認した。この状況が示唆するのは、ロシア犯罪者が侵害の収益化に関与している可能性である。
TRM は、「最初の侵入について、現時点では明確な帰属は確認されていない。しかし、これらのシグナルと TRM の分離能力を合わせると、この大規模ハッキングの収益化において、ロシアのサイバー犯罪インフラが中心的役割を果たしていることが分かる。それが浮き彫りにするのは、難読化のための手段であるミキサーが、機能し難くなっていることだ」と述べている。
2022年の LastPass 侵害で盗まれた $28 million (2,800万ドル) 超の暗号資産が Bitcoin へ変換され、2024年から 2025年にかけて Wasabi Wallet を通じてロンダリングされたことを、TRM Labs が突き止めた。
アナリストたちが特定したのは、SegWit/Replace-by-Fee/使い捨てアドレス/組織的入出金クラスターといった一貫したオンチェーン・パターンであり、ロシア拠点の運営者との関連を示唆した。それらの盗まれた資金は、Cryptex/Audi6 などロシア取引所を通じてオフランプ (現金化) され続けている。
しかし、TRM による追跡が進み、今回の調査の結果が得られた。それが示すのは、ミキシングおよび持続的なロンダリング・インフラと、ロシアのサイバー犯罪エコシステムとの連携の有効性に、いくつかの綻びが生じていることだ。
この報告書は、「ロシア関与の可能性は単一の事例に留まらない。ロシアの高リスク取引所やロンダリング・サービスは、世界に拡散するランサムウェア集団/制裁回避者などのサイバー犯罪ネットワークにとって、重要な出口として機能し続けてきた。LastPass ロンダリング・パイプラインにおける、これらサービスの役割が浮き彫りにするのは、他地域で法執行圧力が高まっているにもかかわらず、依然としてロシア拠点金融インフラが、世界的サイバー犯罪に対する組織的な支援者として機能し続けていることだ」と結論づけている。
今月、英国の Information Commissioner’s Office (ICO) は、不十分なセキュリティ対策により侵害を防げなかったとして、LastPass に対して £1.2m (160 万ドル) の罰金を科した。
LastPass の問題の原因は、2022年に発生したインシデントにおいて、約3,000万件もの暗号化された保管庫のバックアップが、ハッカーの手に渡ってしまったことにあります。保管庫自体は暗号化されていますが、中身を守るためのマスター・パスワードが短かったり単純だったりする場合に問題が生じます。つまり、攻撃者は、手元にあるバックアップに対して、時間をかけて何度も解読を試みることができてしまいます。その結果、事件から数年が経過した現在でも、解読に成功した保管庫から暗号資産などの重要な情報が盗み出され、海外の取引所などを通じて換金される被害が続いています。ご利用のチームは、ご注意ください。よろしければ、LastPass での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.