パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因
パスワード管理システム「LastPass」は、2022年8月にソースコード流出が判明したり、2022年12月にはユーザー情報の流出が判明したりと情報流出が相次いで報告されています。新たに、LastPassは一連の情報流出が「従業員のPCが攻撃され、キーロガーを仕込まれた」ことに起因していることを発表しました。
Incident 2 – Additional details of the attack - LastPass Support
https://support.lastpass.com/help/incident-2-additional-details-of-the-attack
LastPassはウェブサービスのパスワード情報を保存しておけるサービスで、LastPassのサーバー上にはユーザーのパスワードが暗号化された状態で保存されています。ところが、2022年8月にはLastPassのソースコードが盗み出されたことが判明。さらに2022年12月にはユーザーのパスワードを含む個人情報の流出が発表されました。
パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 - GIGAZINE
LastPassは新たに、一連の情報流出は従業員のPCがハッキングされたことに起因していたことを発表しました。
LastPassではAmazonのクラウドストレージサービス「Amazon Simple Storage Service(Amazon S3)」を利用しており、4人の従業員にAmazon S3のアクセスキーを割り当てていたとのこと。しかし、4人のうち1人の自宅用PCがハッキングされてキーロガーを仕込まれた結果、Amazon S3のアクセスキーが盗み出されてしまいました。
攻撃者は、盗んだアクセスキーを用いてLastPassのバックアップデータや社内共有データなどを奪取しました。この際、攻撃者は管理者のアクセスキーを用いて各種データにアクセスしていたため「異常な動作」が検出されず、問題発見の遅延につながったとLastPassは述べています。
LastPassはPCをハッキングされた従業員およびAmazon S3のセキュリティ強化を実施したとのこと。また、LastPassのユーザーに対してもマスターパスワードの変更や2要素認証の有効化などのセキュリティ強化を呼びかけています。
・関連記事
パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 - GIGAZINE
パスワード管理アプリ「LastPass」のソースコードが盗まれる事態が発生 - GIGAZINE
パスワード管理アプリ「LastPass」から盗み出したソースコードを使ってハッカーが顧客データにアクセスしたことが判明 - GIGAZINE
「パスワードを人質に有料プランの契約を迫るべく意図的なバグを仕込んだ」としてパスワード管理アプリ「LastPass」が非難される - GIGAZINE
パスワードマネージャー「LastPass」で本人しか知らないマスターパスワードを使って他人がアクセスしようとする事態が複数発生 - GIGAZINE
無料版が機能制限された人気パスワード管理サービス「LastPass」から「Bitwarden」に移行する方法 - GIGAZINE
・関連コンテンツ