英国のデータプライバシー規制当局である情報コミッショナー事務局(Information Commissioner’s Office、ICO)は、パスワード管理大手のLastPass UK Ltdに対し、2022年に発生した重大なセキュリティ侵害を理由に120万ポンドの罰金を科した。この侵害では、英国だけでも最大160万人のユーザーの個人情報および暗号化されたボールトが影響を受けた。
ICOは、同社が十分に強固な技術的・セキュリティ上の保護措置を講じていなかったと結論付けた。ICOのジョン・エドワーズ長官は、人々のセキュリティ向上を約束する企業が「彼らを裏切った」と指摘した。
2022年の侵害:失敗の連鎖
Hackread.comが2022年に報じたように、この一連の事件は、2つの主要なフェーズで発生した人的および技術的なセキュリティ失敗の連鎖であった。最初の問題は2022年8月に始まり、欧州在住の開発者が使用していた企業用ノートPCが攻撃者に侵害され、同社のソースコードの一部と内部情報が盗まれた。この最初の攻撃では、顧客データは直接的には侵害されなかった。
その後、攻撃者はこの盗まれた情報を利用して、より深刻な第2フェーズを開始した。彼らは米国在住の上級エンジニア(重要な復号鍵にアクセスできる4人の従業員のうちの1人)を標的とし、サードパーティ製アプリケーションの既知の脆弱性を悪用して、この従業員の個人用デスクトップコンピュータにアクセスした。このアプリケーションは、デバイスにインストールされていたPlex Media Serverであると考えられている。
侵入後、攻撃者はキーロガーをインストールして従業員のマスターパスワードを取得し、さらに信頼済みデバイスのクッキーを盗み出して、多要素認証(MFA)を回避した。このエンジニアは業務用アカウントと個人用アカウントを1つのマスターパスワードで紐づけていたため、ハッカーは企業用ボールトにアクセスし、Amazon Web Services(AWS)のアクセスキーと、顧客データにアクセスするために必要な復号鍵を取得した。
盗まれたデータには、氏名、会社名、請求先住所、電話番号、メールアドレス、LastPassサービスへのアクセスに使用された顧客のIPアドレスに加え、暗号化されたパスワードボールトが含まれていた。
ICOの判断が浮き彫りにしたセキュリティ上の欠陥
ICOの判断は厳しいものだった。LastPass UK Ltdはシステムアクセスを十分に制限しておらず、特に従業員が個人用デバイスを使用し、資格情報を使い回していたという人的要因がセキュリティを損なう結果になったと認定された。ICOは、LastPassの顧客には、自身の個人情報が安全に保護されると期待する権利があったと述べている。
しかしながら、状況はさらに悪化していた可能性があることも指摘に値する。LastPassのCEOであるカリム・トゥッバ氏は、同社の「ゼロナレッジ暗号化」システムのおかげで、コアとなる顧客のパスワードは保護されたままであると確認した。この仕組みにより、マスターパスワードはユーザー本人だけが知るものであり、LastPassのサーバーには保存されない。参考までに、最終的な罰金額は、LastPassが再発防止のために講じた措置を踏まえ、当初提案されていた260万ポンドから減額されている。
今回の制裁は、すべての企業にとって重要な教訓を強調している。すなわち、従業員の個人デバイスや家庭内ネットワークを含む「人的な攻撃面」は、たとえ堅牢な企業ネットワークであっても、最も弱いリンクになりがちだということだ。
以下は、英国情報コミッショナー、ジョン・エドワーズ氏による公式声明全文である。
「パスワードマネージャーは、企業および一般の人々が多数のログイン情報を管理するうえで、安全かつ効果的なツールであり、私たちはその利用を引き続き推奨します。しかし、この事案が明らかにしているように、こうしたサービスを提供する企業は、システムへのアクセスおよび利用を適切に制限し、攻撃リスクを大幅に低減させなければなりません。」
「LastPassの顧客には、同社に預けた個人情報が安全かつ確実に保護されると期待する権利がありました。しかし、同社はこの期待に応えられず、その結果として、本日発表された相応の罰金が科されることになりました。」
「私は、英国のすべての企業に対し、本件調査の結果を重く受け止め、自社のシステムおよび手続きを早急に見直すよう求めます。可能な限り、顧客と自社を同様のリスクにさらすことのないよう、対策を講じてください。」
このニュースを受けて、BlackCloakのCEOであるクリス・ピアソン氏はHackread.comに次のようなコメントを寄せた。「この事例は、今日最も深刻な侵害の多くが、従来のエンタープライズ管理のはるか外側から始まるという明確な警鐘です。攻撃者は暗号化やゼロナレッジアーキテクチャを正面から突破したのではなく、信頼された個人を標的にし、個人用デバイスを悪用し、小さな隙間を辛抱強くつなぎ合わせていくことで、高価値のアクセスに到達したのです。」
企業および個人ユーザーに対して、適切な管理とセキュリティ対策を助言しながら、ピアソン氏は次のように述べた。「経営幹部や特権ユーザーにとって、個人的なデジタル生活と職業上のデジタル生活は切り離せないものであり、敵対者もそれを理解しています。企業内のコントロールは依然として重要ですが、それだけでは不十分であり、個人デバイスの継続的な保護、プライバシーの強化、家庭内ネットワークの保護と組み合わせる必要があります。重要人物や経営幹部の私生活におけるデジタル攻撃面を保護しない組織は、事実上、攻撃者に裏口を開け放っているのと同じなのです。」
翻訳元: https://hackread.com/uk-ico-fine-lastpass-2022-security-breach/
