パスワード管理アプリ「LastPass」のソースコードが盗まれる事態が発生

パスワード管理アプリ「LastPass」のソースコードの一部が攻撃者によって奪取されました。LastPassの開発企業は、ユーザーのパスワードが盗まれた証拠は見つかっていないと述べています。

Notice of Recent Security Incident - The LastPass Blog
https://blog.lastpass.com/2022/08/notice-of-recent-security-incident/

LastPass developer systems hacked to steal source code
https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/

公式発表によると、2022年8月にLastPassの開発環境で異常な行動が検出されたとのこと。異常行動に関する調査の結果、ユーザーデータや暗号化済みパスワードへのアクセス履歴は見つからなかったものの、開発者アカウントを介してソースコードの一部と技術情報の一部が不正に入手されていたことが判明しました。

ソースコードの一部が奪取された事態を受けて、LastPassはサイバーセキュリティ企業と連携してセキュリティを強化したとのこと。また、LastPassのサービスは正常に稼働しているとアピールされています。

LastPassは、ユーザーの懸念を解決するべく、以下のQ＆Aを公開しています。

Q：ユーザーのパスワードやマスターパスワードは侵害されましたか？
A：いいえ。今回の事件において、ユーザーのパスワードへのアクセスは確認されていません。また、当社がユーザーのパスワードを保存することはありません。

Q：ユーザーの環境は侵害されましたか？
A：いいえ。今回の事件では、LastPassの開発環境が侵害されました。私たちの調査では、暗号化されたデータへの不正アクセスの証拠は見つかっていません。

Q：ユーザーの個人情報は侵害されましたか？
いいえ。私たちの調査では、稼働環境でのユーザーデータへのアクセスは確認されていません。

Q：データを保護するにはどうすればいいですか？
現時点では、行動を起こすことは推奨しません。いつも通りにLastPassに関するベストプラクティスに従うことを推奨します。

Q：詳細情報を得るにはどうすればいいですか？
私たちは、ユーザーに透明性を備えた最新情報を提供し続けます。

なお、セキュリティ関連メディアのBleeping Computerは、LastPassによる声明発表より前にLastPassの関係者から「ソースコードが侵害された」という情報を受け取っていたとのこと。Bleeping Computerは2022年8月21日にLastPassにセキュリティ侵害について質問を送付していたものの返答は得られず。2022年8月25日に公式声明が発表された際に、合わせて返答を受け取っています。