TOPICS関連情報

2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ～当初想定より深刻

この事例の３つのポイント

①開発環境から技術情報の一部が盗まれた

②さらに別の従業員のクラウドも標的に

③第三者がデータを復元することは不可能

パスワード管理ツール「LastPass」が今年8月、ハッキングを受けた件について、米LastPassは8月25日（現地時間）、現在進行中の調査結果を公表したと窓の杜が伝えている。

2022年8月のインシデントは、同社の開発環境からソースコードを技術情報の一部が盗まれたというもの。同社は当初、顧客のデータや暗号化されたパスワード保管庫にアクセスされた形跡はないとしていた。

しかしその後の調査で、さらに別の従業員を標的とした攻撃が行われ、同社が利用しているクラウドストレージの、一部ボリュームへのアクセスと復号化に使用される認証情報とキーが奪われていたことが判明した。攻撃を受けたクラウドストレージからデータがコピーされていたと思われるという。

2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ～当初想定より深刻／マスターパスワード1つでギリギリ。大事な暗号化データは辛うじて保護 https://t.co/46mFuJryts pic.twitter.com/W80fQIOYVw

— 窓の杜 (@madonomori) December 23, 2022

「LastPass」の本番サービスは、オンプレミスのデータセンターで運用されており、クラウドストレージは開発環境から物理的に分離されている。ただし、クラウドストレージはバックアップの保存などさまざまな用途に利用されている。

攻撃者はコピーしたバックアップデータから会社名、エンドユーザー名、請求先住所、メールアドレス、電話番号、顧客が「LastPass」サービスにアクセスしているIPアドレスなど、アカウントの基本情報と関連するメタデータにアクセスしたと判断された。

一方、ユーザー名やパスワード、セキュアノートなどはデバイスレベルで完全に暗号化されており、マスターパスワードによって保護されている。マスターパスワードは「LastPass」すら知ることはできず、ユーザーから流出したり、脆弱な運用がなされていない限り、第三者がデータを復号することは困難だという。

逆に言えば、マスターパスワードこそが最後の砦だったといえるだろう。同社はマスターパスワードを他のWebサイトでは決して再利用しないように呼び掛けている。