LastPassは、2022年に発生した大規模なデータ侵害につながったセキュリティ上の不備により、英国のデータ保護監督機関から120万ポンド(160万ドル)の罰金を科された。
情報コミッショナーオフィス(ICO)は、パスワード管理プロバイダーである同社が、十分に強固な技術的およびセキュリティ対策を講じなかったことで、顧客に対する責任を果たせなかったと判断した。
規制当局は、脅威アクターが顧客のパスワードを復号できたことを示す兆候はないと認めている。これは、パスワード保管庫にアクセスするために必要なマスターパスワードが、顧客のデバイス上にローカル保存されているためである。
しかし、この侵害により推定160万人のユーザーが影響を受けた。顧客の氏名、メールアドレス、電話番号、保存されたウェブサイトのURLなどの個人情報が漏えいしたとみられている。
LastPass侵害の詳細はこちら: LastPassのハッカーがソースコードを盗難
情報コミッショナーのジョン・エドワーズ氏は、監督機関として、企業および消費者に対し、アイデンティティおよびアクセス管理(IAM)を改善する手段としてパスワードマネージャーの利用を引き続き推奨していると述べた。
「しかし、この事案から明らかなように、これらのサービスを提供する企業は、システムへのアクセスと利用を制限し、攻撃リスクを大幅に低減できるようにしなければなりません」と同氏は付け加えた。
「LastPassの顧客は、自らが同社に預けた個人情報が安全かつ確実に保護されると期待する正当な権利がありました。しかし、同社はこの期待に応えられず、その結果として、本日発表された比例的な罰金につながりました。」
LastPassデータ侵害の経緯
この侵害は、いくつかの段階を経て発生した。
- 脅威アクターがLastPass従業員の法人用ノートPCを侵害し、同社の開発環境にアクセスして、バックアップデータベースへの暗号化された法人認証情報を盗んだ
- LastPassは、暗号鍵は別の場所に保管されているため安全だと考えていた
- しかし同じハッカーは、既知の脆弱性を持つサードパーティ製ストリーマーを悪用してデバイスを侵害し、復号鍵へのアクセス権を持つ上級従業員を標的にした
- ハッカーはそのデバイスにキーロガーをインストールし、従業員のマスターパスワードを取得するとともに、信頼済みデバイスのクッキーを利用してMFAを回避した
- ハッカーは、同一のマスターパスワードでリンクされていた、従業員の個人用および業務用のLastPass保管庫にアクセスした
- 業務用保管庫の中で、AWSへのアクセスキーおよび復号鍵を発見した
- この情報と、以前に盗まれていた暗号化済み認証情報を組み合わせることで、個人情報を含むバックアップデータベースの内容を抽出することが可能になった
コンサルティング会社Bridewellのデータプライバシー担当アソシエイトディレクターであるクリス・リネル氏は、いくつかの教訓が得られたと指摘する。
「サービスプロバイダーにとって、これはセキュリティが製品そのものだけの問題ではないということを思い起こさせる事例です」と同氏は説明する。「強固な情報セキュリティおよびプライバシーのフレームワークを整備する必要があり、バックアップやセカンダリデータベース、その他攻撃者が狙いがちなシステムといった、目立たないリスクを無視してはなりません。」
この侵害はまた、許容利用ポリシーがなぜ重要なのかも示していると、リネル氏は付け加えた。
「従業員は、会社支給デバイスで何ができて何ができないのかについて、明確な指針を持つ必要があります」と同氏は述べる。「今回のケースでは、脆弱性はサードパーティのストリーミングサービス(承認済みかどうかにかかわらず)に由来しており、サプライチェーンにどれほど大きなリスクが潜んでいるかを改めて示す結果となりました。これは過去にも見られたことであり、今後もなくなることはないでしょう。」
翻訳元: https://www.infosecurity-magazine.com/news/ico-fines-lastpass-12m-2022-breach/
