英国の情報コミッショナー事務局(ICO)は、2022年に発生した2段階のデータ侵害により、最大160万人の英国ユーザーの情報が危険にさらされたとして、LastPassに120万ポンド(160万ドル)の支払いを命じた。
情報コミッショナーのJohn Edwards氏は述べた。「パスワードマネージャーは、企業や一般の人々が多数のログイン情報を管理するうえで、安全かつ効果的なツールであり、私たちはその利用を引き続き推奨しています。しかし、このインシデントから明らかなように、こうしたサービスを提供する企業は、システムへのアクセスと利用を制限し、攻撃リスクを大幅に低減するようにしなければなりません。」
「LastPassの顧客は、自分たちの個人情報が安全かつ確実に保護されると期待する正当な権利がありました。しかし、同社はこの期待に応えられず、その結果として本日発表された、相応の罰金が科されることになりました。」
Edwards氏はまた、英国のすべての企業がこの罰金を認識し、自社の顧客データを保護するための対策を講じるべきだと述べた。
2度のセキュリティ障害のうち最初のものは、攻撃者が同社のソフトウェア開発者に支給されたMacBook Proを侵害し、企業の開発環境および関連する技術文書にアクセスし、およそ200あるLastPassのソースコードリポジトリのうち14件を持ち出した際に発生した。
攻撃者は、ソフトウェア開発者のアカウントには許可されていないアクセス管理コマンドを操作しようとしたことでAWSのセキュリティアラートを発生させ、その結果として発覚した。
インシデント後の検証では、攻撃のタイミングが予定されていたmacOSアップグレードと重なっていたことに加え、攻撃者が一貫してアンチ・フォレンジック技術を用いていたため、MacBookがどのように侵害されたかを特定することはできなかった。
盗まれたソースコードには、暗号化されていない企業の認証情報と、本番環境の機能(データバックアップを含む)に使用される暗号化された認証情報が含まれていたと、ICOの金銭的制裁通知(MPN)[PDF]は述べている。
また、本番環境のデータベースバックアップに使用されるAWS S3バケットを保護するための、顧客提供鍵によるサーバー側暗号化(SSE-C)も含まれていた。攻撃者はこの鍵を取得することができたが、それは暗号化された状態のままだった。この段階では鍵を利用することはできず、その状況は後に変化するものの、この時点では顧客情報への影響はなかった。
2件目のインシデントはその翌日、2022年8月12日に発生し、2件のうちより深刻なものとなった。これは、米国在住のシニアDevOpsエンジニアが所有する個人用デスクトップPCの侵害に関わるもので、このエンジニアはSSE-Cの復号鍵にアクセスできる4人のうちの1人だった。
ICOによると、攻撃者はPlex Media Serverの脆弱性CVE-2020-5741(7.2)を悪用してこのPCへのリモートアクセスを獲得し、エンジニアのマスターパスワードを盗むためのキーロガーと、その後MFAを回避するために利用したセッションクッキーをインストールしたという。
攻撃者はこのアクセスを利用してLastPassのAWSアクセスキーと復号鍵を取得し、SSE-C鍵と組み合わせることで、同社のバックアップデータベースをダウンロードできる状態になった。
顧客の氏名、メールアドレス、電話番号、保存されたウェブサイトURLといった個人データが盗まれたが、パスワードが復号されたことを示す証拠は、今なお確認されていない。
盗まれたデータには、160万件以上のメールアドレスとIPアドレス、248,407件の電話番号、159,809件の氏名、118,103件の物理住所が含まれていた。
MPNによると、LastPassは当初、SSE-C鍵の復号鍵が4人のシニアセキュリティ担当者のボールトによって保護されていたことから、最初の攻撃後もSSE-C鍵は安全だと考えていた。
8月18日の最初の攻撃後に認証情報をローテーションした後でさえ、8月20日に攻撃者が復号鍵を盗み出したことでSSE-C鍵も危険にさらされるとは、LastPassは想定していなかった。
ICOは、LastPassが「十分に強固な技術的およびセキュリティ上の対策を実装できなかった」ことを理由に罰金を科したと述べた。
また、当時、合理的に講じられるべきだったと規制当局が考える組織的対策も存在した。
この問題に大きく影響した要因の1つは、攻撃当時のLastPassのポリシーである。これは、シニアスタッフに対し、個人アカウントと業務アカウントをリンクさせ、同じマスターパスワードで両方にアクセスできるようにすることを認め、積極的に推奨していたものだった。ここには、機密性の高い企業データにアクセスできるスタッフも含まれていた。
その結果、Plexのバグを通じてDevOpsエンジニアのデスクトップが乗っ取られた際、個人アカウントに使用されていたマスターパスワードが、攻撃者にLastPassの企業機密へのアクセス権限も与えることになった。
別の組織的な不手際により、この攻撃は数カ月間にわたり検知されなかった。
AWSは、DevOpsエンジニアのアカウントでは通常行われない操作を試みるといった異常な活動を検知し、2022年10月15日から22日にかけてGuardDutyアラートをLastPassの配信リストに送信していた。
しかし、同社が旧親会社GoToからの移行を進める中での不備により、これらのアラートがLastPassのセキュリティオペレーションセンター(SOC)に届いたのは11月2日になってからだった。
クラウドインフラ用のメール配信リストには、LastPassのスタッフとしてはソフトウェア開発エンジニアリングディレクター1人しか含まれておらず、残りはすべてGoToの従業員だった。
この古い配信リストと、旧チームと新チーム間のコミュニケーション不足により、AWSからの通知は最初の送信から18日が経過するまで、本来届くべき相手に届かなかった。
ICOが、LastPassに対して戒告や執行通知といった軽い処分ではなく罰金を科す決定を下した背景には、私物デバイスの使用や個人アカウントと業務アカウントのリンクに対する、同社の寛容な姿勢が大きく影響している。
MPNでは、これらの問題だけでは2度目の攻撃を完全に防げなかったかもしれないものの、個人用と業務用のボールトで別々のマスターパスワードを使用していれば、攻撃者と復号鍵の間に必要な追加のセキュリティ層を提供できていたはずだと指摘している。
コミッショナーはまた、同社の事業内容を踏まえ、より高い注意義務の基準を適用せざるを得なかったこと、そして被害を受けた顧客から寄せられた、攻撃による精神的苦痛に関する証言についても言及した。
The Registerは、LastPassに対し、罰金に対して控訴する予定があるかどうかなど、さらなる情報提供を求めている。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/11/lastpass_ico_fine/
