「パスワード管理、ヨシ」のはずが2度目の流出、その悲劇の背景

パスワード管理ツール「LastPass」は2022年8月のデータ流出からわずか3カ月で「2度目のデータ流出」が起きてしまった。専門家が語るその原因とは。

[Matt Kapko，Cybersecurity Dive]

　2022年11月30日、パスワード管理ツール「LastPass」は、2022年8月に発生した不正アクセス（注1）の影響で顧客データが危険にさらされたと発表した。

　CEOのカリム・トゥバ氏はブログで「サードパーティーのクラウドストレージサービス内で異常な活動を検出した。2022年8月の事件で入手した情報を使って、不正な第三者が顧客情報の特定の要素にアクセスしたと断定した」と述べた（注2）。

なぜ2度目の事件を防げなかったのか

　LastPassは、2022年8月に攻撃者が同社のシステムに侵入しソースコードの一部と専有技術情報を盗んだ際に「顧客データや暗号化された保管庫にはアクセスされていない」と発表していた。

　同社は今回の侵害を発見した時期、流出した顧客情報の内容、現在何人の顧客が潜在的に侵害されているかについては言及していない。LastPassは詳細な情報を求めるリクエストに応じなかった。

　同社は2022年8月のデータ流出から3カ月以上たっても、その際に盗まれたデータがどのように顧客データへのアクセスに使われたのか説明していない。LastPassによると、Mandiantが調査を支援し警察当局にも通知されたという。

　Synopsysのテクニカルディレクター兼プリンシパルアーキテクトのマイケル・ホワイト氏によれば、同社の開発システムで発生した異常な活動は、何が問題で、どのような課題が残存しているのかを知る手掛かりになるという。「一度危険にさらされると、開発システムやテストシステムにアクセスすることで『王国への鍵』を渡すことになる（システム全体への侵入を許すことになる）」と同氏は述べる。

　同氏によれば、このような侵害によって攻撃者が重要な機密情報に向かって横方向に移動したり、ソフトウェアの構築プロセスに干渉してバックドアを導入し、本番環境に侵入したりすることが可能になるという。

　さらに同氏は「今回の侵害の原因が開発システムの侵害だと判断された場合、SolarWindsを襲ったものと同じ攻撃ベクトルのSunburstが原因である可能性がある」と指摘する。Sunburstは侵入されたシステムにバックドアを仕込み、下流の組織を間接的に狙うサプライチェーン攻撃だ。

　LastPassは3300万人以上の登録ユーザーと10万人以上の企業顧客に利用されている。今回の侵害にもかかわらずLastPassは稼働しており「顧客のパスワードは安全に暗号化された状態を保っている」と同社CEOのトゥバ氏は述べている。

出典：LastPass breach fallout spreads to expose customer data（Cybersecurity Dive）

注1：LastPass breached, portions of source code stolen, CEO says

注2：Notice of Recent Security Incident