- ICO は LastPass に対し 120万ポンド(160万ドル)の罰金を科した
- 160万人を超えるユーザーのデータが侵害により流出した
- 流出したデータには氏名、メールアドレス、電話番号、URL が含まれていた
英国情報コミッショナー事務局(ICO)は、パスワードマネージャープロバイダーである LastPass に対し、2022年に発生し160万人のユーザーに影響を与えたデータ侵害に対して 120万ポンド(160万ドル)の罰金を科した。
ICO によると、LastPass は「十分に強固な技術的およびセキュリティ上の対策を実装できておらず」、その結果として 2 件の別々のデータ侵害インシデントが発生したという。
このデータ侵害以降、研究者らは、複数の 6 桁台の暗号資産強奪事件を、この LastPass の侵害と結び付けている。
企業は要注意
侵害は、攻撃者が LastPass の開発環境にアクセスできる会社のノート PC を侵害し、暗号化された企業用認証情報を取得したことから始まった。
その後、攻撃者はキーロガーで上級社員のノート PC を侵害し、信頼済みデバイス認証クッキーを盗み出すことで、LastPass のバックアップデータベースへのアクセスを獲得した。
社員の個人アカウントと業務用アカウントの両方にアクセスできるようになると、ハッカーは Amazon Web Service(AWS)のアクセスキーと復号鍵を盗み出した。
攻撃者は、これまでに取得したキーを使って、個人情報で埋め尽くされたバックアップデータベースの内容を抽出した。
LastPass はゼロナレッジ暗号化方式を採用していたため、保存されていたパスワードが復号されたことは一度も確認されていない。しかし攻撃者は、顧客の氏名、メールアドレス、電話番号、保存されていたウェブサイトの URL を持ち出した。
英国情報コミッショナーの John Edwards 氏は次のように述べている。「パスワードマネージャーは、企業や一般の人々が多数のログイン情報を管理するうえで、安全かつ効果的なツールであり、その利用を引き続き推奨します。しかし、このインシデントから明らかなように、これらのサービスを提供する企業は、システムへのアクセスと利用を制限し、攻撃リスクを大幅に低減できるようにしておくべきです。」
「LastPass の顧客は、自分たちが同社に預けた個人情報が安全かつ確実に保護されると期待する権利がありました。しかし、同社はこの期待に応えられず、その結果として、本日発表された相応の罰金が科されることになりました。」
「英国のすべての企業に対し、本調査の結果を重く受け止め、自社のシステムと手順を早急に見直し、可能な限り、自社と顧客を同様のリスクにさらしていないことを確認するよう求めます。」
TechRadar Pro はコメントを求めて LastPass に問い合わせたが、すぐには回答を得られなかった。
