TokyoBlackHatNews

bleepingcomputer.com 4分で読了

英国、160万人のユーザーに影響した2022年のデータ侵害でLastPassに罰金

Image

英国情報コミッショナー事務局(ICO)は、2022年の侵害で最大160万人の英国ユーザーの個人情報および暗号化されたパスワード保管庫が盗まれる原因となったセキュリティ対策の不備に対し、パスワード管理企業LastPassに120万ポンドの罰金を科した。

ICOによると、このインシデントは2022年8月から始まった、相互に関連する2件の侵害に端を発している。

最初の侵害は2022年8月に発生し、ハッカーがLastPass従業員のノートPCを侵害し、同社の開発環境の一部にアクセスした。

このインシデントでは個人データは盗まれなかったものの、攻撃者は同社のソースコード、独自の技術情報、暗号化された社内認証情報を入手することができた。これらの認証情報の復号鍵は、4人の上級従業員の保管庫に分離して保管されていたため、LastPassは当初、この侵害は封じ込められたと考えていた。

しかしその翌日、攻撃者は、従業員の私物デバイスにインストールされていたサードパーティ製ストリーミングアプリケーション(Plexとみられている)の既知の脆弱性を悪用し、その上級従業員の1人を標的にした。

このアクセスにより、ハッカーはマルウェアを展開し、キーロガーを用いて従業員のマスターパスワードを取得し、すでに多要素認証(MFA)が通過済みのクッキーを利用してMFAを回避することが可能になった。

従業員が個人用と業務用の保管庫の両方で同じマスターパスワードを使用していたため、攻撃者は業務用保管庫にアクセスし、Amazon Web Servicesのアクセスキーと復号鍵を盗むことができた。

これらの鍵と、すでに盗まれていた情報を組み合わせることで、攻撃者はクラウドストレージ企業GoToを侵害し、そのプラットフォーム上に保存されていたLastPassのデータベースバックアップを盗むことができた。

侵害で盗まれた顧客データ

盗まれたデータベースに保存されていた個人情報には、暗号化されたパスワード保管庫、氏名、メールアドレス、電話番号、顧客アカウントに紐づくウェブサイトURLなどが含まれていた。

「脅威アクターは、企業名、エンドユーザー名、請求先住所、メールアドレス、電話番号、および顧客がLastPassサービスにアクセスしていたIPアドレスを含む、基本的な顧客アカウント情報と関連メタデータを含んだバックアップから情報をコピーしました」と、当時LastPassのCEOであったKarim Toubba氏は説明している。

「脅威アクターはまた、暗号化ストレージコンテナから顧客保管庫データのバックアップをコピーすることもできました。これは独自のバイナリ形式で保存されており、ウェブサイトURLのような暗号化されていないデータと、ウェブサイトのユーザー名とパスワード、セキュアノート、自動入力データなどの完全に暗号化された機密フィールドの両方を含んでいます。」

ICOは、LastPassの「ゼロナレッジ・アーキテクチャ」により、保管庫を復号するために使用されるマスターパスワードはLastPass側では把握も保存もしておらず、顧客だけが知るものであるため、攻撃者は顧客のパスワード保管庫を復号してはいないと主張した。

しかしLastPassは以前から、暗号化された保管庫のセキュリティは顧客のマスターパスワードの強度に依存すると警告しており、弱いパスワードはリセットするよう勧告していた。

「マスターパスワードの長さと複雑さ、および反復回数の設定によっては、マスターパスワードをリセットすることを検討してください」と、このサイバー攻撃に関するLastPassのサポート告知には記載されている。

これは、GPUを用いた総当たり攻撃により、保管庫の暗号化に使用されている弱いマスターパスワードが解読され、脅威アクターが保管庫にアクセスできてしまう可能性があるためだ。

一部の研究者は、LastPassの保管庫のうち弱いパスワードのものがすでに復号され、暗号資産窃取攻撃に利用されたとする主張を行っている

情報コミッショナーのJohn Edwards氏は、パスワードマネージャーは依然としてセキュリティにとって重要なツールである一方で、そのようなサービスを提供する企業は、標的型攻撃に対してアクセス制御や内部システムを強固にしなければならないと述べた。

同氏は、LastPassの顧客には自らの個人情報が保護されるという合理的な期待があったにもかかわらず、同社はこの義務を果たせなかったため、今回の制裁につながったと強調した。

ICOは、組織に対し、デバイスセキュリティリモートワークに伴うリスク、およびアクセス制限を見直すよう促している。

顧客はまた、強力で複雑なパスワードを使用していることを確認すべきであり、LastPassは少なくとも12文字以上で、大文字・小文字、数字、記号、特殊文字を含めることを推奨している。

しかし、このように計算能力の向上やオフラインでのクラックが行われうる攻撃においては、パスワード保管庫のような高度に機密性の高い情報を保護するためには、少なくとも16文字以上のマスターパスワード[1, 2]、あるいは長い複数語からなるパスフレーズを使用する方が安全である。

翻訳元: https://www.bleepingcomputer.com/news/security/uk-fines-lastpass-over-2022-data-breach-impacting-16-million-users/

ソース: bleepingcomputer.com
#ICO(英国情報コミッショナーオフィス) #LastPass #サイバーセキュリティ #データ侵害 #パスワードマネージャー #マスターパスワード強度 #個人情報保護 #情報漏えい #暗号化パスワードボルト #英国GDPRと制裁金

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用