LastPass親会社が不正アクセスで顧客データの一部を盗み出されていたことを認める-GIGAZINE
絆ワークプロジェクトでは、社員の引き抜きやデータ不正持ち出しなど、企業の不正に関する事例について取り上げ、皆様へ情報共有を行っております。
◇◇◇
LastPass親会社が不正アクセスで顧客データの一部を盗み出されていたことを認める
この事例の3つのポイント
①パスワード管理アプリの個人データが流出
②顧客データへの影響は不明
③サイバーセキュリティ企業の助けを借りて調査
パスワード管理ツール「LastPass」開発の親会社であるGoToが、顧客データの暗号化済みバックアップを保存したクラウドストレージへの不正アクセスが2022年11月に発生した件について、この不正アクセスでリモートコンピューター管理ソフトのLogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと発表したことをGIGAZINEが報じている。
事の発端は2022年8月に、攻撃者が開発者アカウントを介してLastPassのソースコードと技術情報の一部を不正に入手したことにあるという。
そして2022年11月末、この盗み出されたソースコードから得た情報を使って、GoToやLastPassの顧客データの暗号化済みバックアップが保存されたサードパーティ製クラウドストレージに攻撃者が侵入し、顧客データの「特定の要素」へのアクセスに成功したことが判明したようだ。
クラウドストレージへの侵入が判明した時点では顧客データへの影響はまだわかっておらず、GoToはサイバーセキュリティ企業のMandiantの助けを借りて調査を行っていたといいます。
不正アクセス発覚時、LastPassのカリム・トウッバCEOは「LastPassのパスワードが盗まれた証拠はなく、お客様のパスワードは当社のゼロ知識証明技術によって安全に暗号化されたままになっています」と発表したが、2022年12月末には結局LastPassの顧客データへの不正アクセスが発生していたことを明らかにしているという。