ソフトウェア

パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵


パスワード管理アプリ「LastPass」から情報が盗み出されていた問題で、セキュリティ専門家のウラジミール・パラント氏が、LastPassから出された声明文を「省略ばかり、真実が半分しかない、あからさまなウソに満ちている」と痛罵。具体的な内容を挙げて、厳しく非難しています。

What’s in a PR statement: LastPass breach explained | Almost Secure
https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/

パラント氏はまず、声明がクリスマスを目前に控えた12月22日に出されたことを、「報道の数を抑えるために意図的に行われた可能性があります」と指摘しました。


声明内容にも1段落目から厳しい目を向けています。LastPassは「透明性への取り組みのため、進行中の調査事項についての最新情報を提供したいと思います」と書いているのですが、パラント氏は「データ侵害の発生はただちに開示することが法律で定められており、『透明性への取り組み』とは無関係です」とばっさり一刀両断。

次に、LastPassは「2022年8月のインシデントでは顧客データへのアクセスはありませんでしたが、一部ソースコードや技術情報が盗まれ、別の従業員を標的にする攻撃で使用されました」と説明しています。しかし、パラント氏は「2022年8月のインシデントとその後に発生したデータ漏洩を別の出来事として扱おうとしています。最初のアクセスで得た情報を利用してより多くの資産を狙う手法は、攻撃者が用いる『横移動』と呼ばれる典型的なものです」と指摘しました。

「攻撃者がアクセスしたクラウドストレージは本番環境とは物理的に分離されていた」というLastPassの説明に対して、パラント氏は「当該クラウドストレージにLastPassの全コピーが存在したことを考えると、心強いことなのでしょうか?それとも、データ持ち出しはLastPassのサーバーから行われたわけではないという責任転嫁でしょうか?」という見方を示しています。

また、「暗号化されたフィールドは256ビットAES暗号化で保護されており、ゼロナレッジアーキテクチャを使用して各ユーザーのマスターパスワードから作られた一意の暗号化キーでのみ復号できます」という説明については「脅威アクターによるデータ解読を防いでいるのはマスターパスワードのみで、それが推測されてしまったら終わりという単純な事実を覆い隠している」と冷静に指摘しました。この他の点についても、パラント氏は細かくLastPassの声明文で隠されている事実を暴いています。

LastPassに対しては、パラント氏が特に厳しいというわけではなく、他のセキュリティ専門家も同様の対応を取っています。かつてLastPassの使用を勧めていたことがあるジェレミー・M・ゴズニー氏は、2017年ごろからLastPassをやめてBitwardenや1Passwordを使うよう呼びかけていました。

Jeremi M Gosney :verified:: "I recently wrote a post detail…" - Infosec Exchange
https://infosec.exchange/@epixoip/109585049354200263

ゴズニー氏はLastPassを見限った理由を以下のように列挙しています。

・LastPassの主張する「ゼロナレッジ」はまったくのウソで、LastPassはユーザーがどのサイトにログインしているかを追跡しており、追跡を無効化してもなにも起きない(無効化されない)。
・データ保管庫がほとんど暗号化されておらず、暗号化されているのは一部フィールドのみ。
・その暗号化自体がクソ。
・秘密管理がひどい。暗号化キーが常にメモリに常駐していて消去されない、データ保管庫の復号キーと無効化されたワンタイムパスワードは各デバイスに平文で保存されルート権限・管理者権限なしで見ることができる。
・ブラウザ拡張がひどい。認証情報が盗み出されるなどのバグ満載。どれも簡単に特定して修正可能なのに、対応がなされていない。
・APIがゴミ。これも問題は数え上げればきりがない。
・過去10年間に7回の大規模セキュリティ侵害を受けている。
・セキュリティ研究者や脆弱性レポートを無視してきた歴史があり、情報科学コミュニティにもパスワードクラッキングコミュニティにも参加しない。脆弱性報告は数カ月放置ならマシなほうで一度も認識されず解決されないものもある。セキュリティチームの連絡先が間違っていたこともある。

ゴズニー氏は「LastPassをやめるよう勧めているのではなく、こういった歴史を踏まえて、LastPassからできるだけ遠くへ逃げた方がいいと勧めているのです」と述べています。

この記事のタイトルとURLをコピーする

・関連記事
パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 - GIGAZINE

データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演 - GIGAZINE

パスワード管理アプリ「LastPass」のソースコードが盗まれる事態が発生 - GIGAZINE

パスワードマネージャー「LastPass」で本人しか知らないマスターパスワードを使って他人がアクセスしようとする事態が複数発生 - GIGAZINE

パスワード管理サービス「LastPass」が独立企業としてLogMeInから分離することが判明 - GIGAZINE

人気パスワード管理アプリ「LastPass」の無料版にスマホかPCのいずれかからしか使えないような制限が追加 - GIGAZINE

・関連コンテンツ

in ソフトウェア,   セキュリティ, Posted by logc_nt

You can read the machine translated English article here.