パスワード管理アプリ「LastPass」から盗み出したソースコードを使ってハッカーが顧客データにアクセスしたことが判明
by Focal Foto
2022年8月に発生したパスワード管理サービス「Lastpass」のソースコード流出事件により盗み出されたソースコードを使用し、何者かがLastPassのユーザーデータに不正アクセスしたことが判明しました。
Notice of Recent Security Incident - The LastPass Blog
https://blog.lastpass.com/2022/11/notice-of-recent-security-incident/
Lastpass says hackers accessed customer data in new breach
https://www.bleepingcomputer.com/news/security/lastpass-says-hackers-accessed-customer-data-in-new-breach/
Lastpassは2022年12月1日に、LastPassとその親会社であるGoToが共有しているサードパーティのクラウドストレージサービスで、異常なアクティビティが検出されたことを発表しました。
We recently detected unusual activity within a third-party cloud storage service, which is currently shared by both LastPass and its affiliate GoTo. Customer passwords remain safely encrypted due to LastPass’s Zero Knowledge architecture. More info: https://t.co/xk2vKa7icq pic.twitter.com/ynuGVwiZcK
— LastPass (@LastPass)
LastPassのCEOであるKarim Toubba氏によると、今回LastPassのクラウドストレージに侵入した脅威アクターは、2022年8月に発生したソースコード流出で得た情報を使って、LastPassのユーザーデータの「特定の要素」にアクセスすることに成功したとのこと。
盗み出された具体的なデータや被害者数などについては明かされていませんが、Toubba氏は「LastPassのZero Knowledgeアーキテクチャにより、お客様のパスワードは安全に暗号化されたままになっています」と述べて、パスワードは流出していないとの見解を示しました。
Lastpassは最も人気のあるパスワードマネージャーの1つで、3300万人以上のユーザーと10万社以上の企業で使用されています。しかし、ソースコードが盗まれた前回のデータ侵害では、脅威アクターがLastpassの多要素認証を突破して開発者になりすまし、開発環境にアクセスすることが可能だったことも判明しています。
Toubba氏は「異常なアクティビティの検出後、私たちはすぐに調査を開始し、大手セキュリティ会社であるMandiantにも調査を依頼したほか、法執行機関にも通報しました。調査が完了するまで、しばらくお待ちいただきますようお願い申し上げます」と述べました。
・関連記事
「パスワードを人質に有料プランの契約を迫るべく意図的なバグを仕込んだ」としてパスワード管理アプリ「LastPass」が非難される - GIGAZINE
無料版が機能制限された人気パスワード管理サービス「LastPass」から「Bitwarden」に移行する方法 - GIGAZINE
パスワード管理サービス「LastPass」が独立企業としてLogMeInから分離することが判明 - GIGAZINE
人気パスワード管理アプリ「LastPass」の無料版にスマホかPCのいずれかからしか使えないような制限が追加 - GIGAZINE
パスワードマネージャー「LastPass」で本人しか知らないマスターパスワードを使って他人がアクセスしようとする事態が複数発生 - GIGAZINE
・関連コンテンツ
