パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因

パスワード管理システム「LastPass」は、2022年8月にソースコード流出が判明したり、2022年12月にはユーザー情報の流出が判明したりと情報流出が相次いで報告されています。新たに、LastPassは一連の情報流出が「従業員のPCが攻撃され、キーロガーを仕込まれた」ことに起因していることを発表しました。

Incident 2 – Additional details of the attack - LastPass Support
https://support.lastpass.com/help/incident-2-additional-details-of-the-attack

LastPassはウェブサービスのパスワード情報を保存しておけるサービスで、LastPassのサーバー上にはユーザーのパスワードが暗号化された状態で保存されています。ところが、2022年8月にはLastPassのソースコードが盗み出されたことが判明。さらに2022年12月にはユーザーのパスワードを含む個人情報の流出が発表されました。

パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 - GIGAZINE

LastPassは新たに、一連の情報流出は従業員のPCがハッキングされたことに起因していたことを発表しました。

LastPassではAmazonのクラウドストレージサービス「Amazon Simple Storage Service(Amazon S3)」を利用しており、4人の従業員にAmazon S3のアクセスキーを割り当てていたとのこと。しかし、4人のうち1人の自宅用PCがハッキングされてキーロガーを仕込まれた結果、Amazon S3のアクセスキーが盗み出されてしまいました。

攻撃者は、盗んだアクセスキーを用いてLastPassのバックアップデータや社内共有データなどを奪取しました。この際、攻撃者は管理者のアクセスキーを用いて各種データにアクセスしていたため「異常な動作」が検出されず、問題発見の遅延につながったとLastPassは述べています。

LastPassはPCをハッキングされた従業員およびAmazon S3のセキュリティ強化を実施したとのこと。また、LastPassのユーザーに対してもマスターパスワードの変更や2要素認証の有効化などのセキュリティ強化を呼びかけています。