パスワード管理アプリ「LastPass」から盗まれたデータが仮想通貨の盗難に悪用されている可能性

2022年8月に発生したパスワード管理アプリ「LastPass」のソースコード流出事件では、発生当初は「ユーザーのパスワードが盗まれた証拠は見つかっていない」とされていたものの、11月末になってユーザーデータへの不正アクセスがあったことが判明しました。新たに、LastPassから盗み出されたユーザーパスワードが解読され、仮想通貨の盗難に悪用されている可能性があると、セキュリティブログのKrebs on Securityが報じています。

Experts Fear Crooks are Cracking Keys Stolen in LastPass Breach – Krebs on Security
https://krebsonsecurity.com/2023/09/experts-fear-crooks-are-cracking-keys-stolen-in-lastpass-breach/

イーサリアムブロックチェーンの仮想通貨ウォレットとして人気を集めるMetaMaskの創設者であるテイラー・モナハン氏は、2022年12月下旬以降に発生した150件以上の仮想通貨盗難事件について、仮想通貨ウォレット回復企業のUncipheredで分析ディレクターを務めるニック・バックス氏らと共に調査を行いました。

モナハン氏らが調査した被害者のほぼ全員が長年にわたる仮想通貨投資家であり、セキュリティに関心の高い人々だったとのこと。また、電子メールやスマートフォンの侵害など、一般的な仮想通貨盗難の前兆になるようなイベントもみられなかったそうです。モナハン氏は、「被害者のプロフィールは非常に印象的です。彼ら(彼女ら)はまったく安全でした。評判のいい仮想通貨機関やベンチャーキャピタルの従業員、DeFiプロトコルを構築した人などです」と述べています。

被害者から盗まれた仮想通貨が送金されたウォレットからその他の被害者までさかのぼり、総額3500万ドル(約52億ドル)もの仮想通貨を失った150人以上のインタビューを分析した結果、被害者の共通点として「パスワード管理アプリのLastPassを使用していた」ことが浮上しました。モナハン氏らは、被害者らがLastPassに仮想通貨ウォレットにアクセスするためのシードフレーズを保存しており、2022年8月のLastPassのデータ侵害によって盗まれたVaultデータに、被害者らのデータが含まれていた可能性があると結論付けました。

バックス氏は、「シードフレーズは文字通り『お金』と同じです。もしあなたが私のシードフレーズを持っているなら、それをコピーしてウォレットに貼り付ければ、私の口座をすべて見ることができます。そして、私の資金を送金することもできるのです」と述べています。

2008年にリリースされたLastPassは、一意の「マスターパスワード」でさまざまなアカウントのパスワードを一元管理することが可能で、セキュリティに関心のある2500万人以上のユーザーを有していました。ところが2022年8月に発生したデータ侵害により、ユーザーがパスワードを保管している「Vault(保管庫)」のデータが流出したことが報告されました。

パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 - GIGAZINE

LastPassはユーザーが設定したマスターパスワード自体を保存しておらず、暗号化が非常に強力であるため、ハッキングに対しても安全だとアピールしてきました。しかし、ハッカーが暗号化されたVaultデータそのものを手に入れた場合、ハッカーはオフラインで大量のパスワードを試すブルートフォース攻撃を実行することが可能であり、いずれマスターパスワードのクラッキングに成功する可能性があるとのこと。

カリフォルニア州バークレー校の研究者であるニコラス・ウィーバー氏は、「大量の保管庫が盗まれた場合、特に保管庫の持ち主に関する情報が入手可能であれば、ブルートフォース攻撃に対して脆弱(ぜいじゃく)になります」と述べています。

また、ブルートフォース攻撃に対する安全性はマスターパスワードの文字数と、パスワードから秘密鍵を生成する際の計算回数を指定するイテレーションカウントに依存します。LastPassは2018年にマスターパスワードの最小文字数を12文字に引き上げ、デフォルトのイテレーションカウントもたびたび増加してきましたが、以前から使っていたユーザーにマスターパスワードやイテレーションカウントの変更を強制することはなかったとのこと。そのため、まだマスターパスワードが8文字で設定でき、デフォルトのイテレーションカウントが小さかった古いユーザーほど、ブルートフォース攻撃に対して脆弱だそうです。

LastPassはKrebs on Securityの問い合わせに対し、2022年のデータ侵害については法執行機関による捜査と訴訟が進行中であるとして、一連の問題についての質問に回答しませんでした。LastPassは声明で、「昨年のLastPassへの攻撃以来、私たちは法執行機関と連絡を取り続けています」と述べました。

なお、LastPassのデータ侵害はVaultデータにアクセスできる従業員の自宅PCに対する、非常に複雑な標的型攻撃が原因だったとのこと。ハッカーは、従業員が自宅のネットワークで実行していたメディアサーバーの脆弱性を悪用し、PCにキーロガーマルウェアを埋め込むことで、従業員のマスターパスワードを盗み取ってLastPassのVaultデータにアクセスしたと判明しています。

パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因 - GIGAZINE