攻撃は1回で終わらず 不正アクセスされたパスワード管理「LastPass」に起こったこと

サイバー攻撃を受け、被害が軽微なものだったとしよう。だが本当に被害がなかったかどうかは後になってみなければ分からない。1回目の攻撃は単なる偵察や事前情報の収集だったのかもしれないからだ。パスワード管理ツールを提供する企業に起こった事例を紹介する。

[Matt Kapko，Cybersecurity Dive]

　サイバー攻撃による侵害は必ずしも見た目通りではない。例え封じ込めたとしても、その状態が長く続くとは限らない。これはパスワードマネジャーを提供するLastPassに起こったことだ。

　2022年8月に検出された侵害について、LastPassのカリム・トゥバCEOはその数週間後に封じ込めに成功したと発表した。しかし2023年に入っても、状況が収束したとは言い難い。

攻撃は1回では終わらなかった

　なぜなら2022年8月の最初の侵害の3カ月後、未知の攻撃者がこの侵害で得た情報を使って、同社のクラウドベースのストレージ環境と暗号化されたパスワード保管庫にアクセスしたからだ。2番目の侵害についてもLastPassが発表している。

　その後も攻撃は続いたのだろうか。

　2023年に入り、LastPassは2回目の侵害の結果、顧客データが大幅に漏えいしたと発表した。攻撃者は暗号化されたパスワードやユーザー名などを含む顧客データ保管庫のクラウドベースのバックアップにアクセスして、内容をコピーしていた。

　LastPassは2022年8月25日から12月22日まで、それぞれの時点で何が解明されたのかを説明している。順に見ていこう。

2022年8月25日

　トゥバ氏は「LastPassの開発環境の一部で異常な活動を検出した」とブログへの投稿で顧客に通知した（注1）。

　初期調査の後、攻撃者が顧客データや暗号化されたパスワード保管庫にアクセスした証拠は発見されなかったという。

　トゥバ氏によると、正体不明の攻撃者は侵害の結果得た開発者アカウントを通じてアクセスし、ソースコードの一部と同社独自の技術情報を盗み出したという（注2）。

　LastPassは本番環境と開発環境を分けており、不正アクセスは個人データを保存していない開発環境に限定されていたと述べた。

　10万人以上の企業顧客と3300万人以上の登録ユーザーを支えているため、すぐに封じ込めと緩和策を展開し、サイバーセキュリティとフォレンジックを提供する企業に対して、さらなる調査の支援を求めていると述べた。

　「当社は封じ込めに成功し、強化されたセキュリティ対策を実施しており、不正な活動のさらなる証拠を確認していない」（トゥバ氏）

　LastPassは短いFAQを発表し、ユーザーと管理者に対して推奨措置は特に必要ないと伝えた。

2022年9月15日

　LastPassは同社のセキュリティチームが合計4日間、開発システム内部に攻撃者の活動を検知したが、その活動を抑制できたと発表した（注3）。

　インシデント対応企業のMandiantによる調査とフォレンジックレビューを完了した後、攻撃者からの活動についてさらなる証拠は見つからず、顧客データや暗号化されたパスワード保管庫へのアクセスも見当たらなかったと発表した。

　不正アクセスは開発システムに限定されており、開発システムは本番環境から「物理的に分離」されているため、顧客データへの直接のアクセスはできないことをLastPassは再度強調している。

　トゥバ氏はLastPassが最初に異常な活動を検知した2022年8月中旬から9月中旬の間にインシデントを収拾したと述べた。

　前述したように攻撃者は侵害された開発者のエンドポイントを悪用してLastPassの開発環境にアクセスした。

　「最初のエンドポイント侵害で使われた手法を確定できてはいない。開発者が多要素認証を使用して認証に成功した後、開発者になりすますために持続的アクセスを利用した」（トゥバ氏）

2022年11月30日

　事態が悪化していることが分かったのはこのときだ。LastPassは初めて、2022年8月の侵害の結果、顧客データが漏えいしたことを認めた。

　「2022年8月に発生したインシデントで入手した情報を用いて、攻撃者が顧客情報の特定の要素にアクセスできたと判断した」（トゥバ氏）

　このインシデントは現在も拡散し続けており、顧客データが暴露されている（注4）。

　「当社はインシデントの範囲を理解し、どのような情報にアクセスされたのかを特定するために真剣に取り組んでいる」（トゥバ氏）

　情報漏えいを発見した時期や漏えいした顧客情報の種類、漏えいの可能性がある顧客数について、同社はこの時点で明らかにしていない。

　トゥバ氏は「サードパーティーのクラウドストレージサービス内での異常な活動」について言及し、Mandiantと再契約を結び、法執行機関に攻撃について通知した。

2022年12月22日

　LastPassはホリデーシーズン（クリスマスから年末年始の時期）の直前に被害情報を大きく更新した。未知の攻撃者が顧客のデータ保管庫のクラウドベースのバックアップをコピーしたため、顧客データが大幅に侵害されたと発表した（注5）。

　暗号化されたパスワードやユーザー名、フォームに入力されたデータなどが漏えいしたコピーに含まれていた。

　「これらの暗号化されたフィールドは、256bitのAES暗号で保護され、ゼロナレッジアーキテクチャを使用しており、各ユーザーのマスターパスワードから得られる固有の暗号化キーがなければ解読できない。マスターパスワードについて、LastPassはそもそも情報を持っていない。LastPassがマスターパスワードを保存したり、管理したりすることもない」（トゥバ氏）

　顧客データ保管庫のバックアップには、顧客がパスワード管理ツール経由でアクセスしたWebサイトのURLや会社名、請求先住所、メールアドレス、電話番号、顧客がLastPassへのアクセスに使用したIPアドレスなど、暗号化されていないデータも含まれていた。

　攻撃者が総当たりでマスターパスワードを推測しようとしたり、フィッシング攻撃やクレデンシャルスタッフィング攻撃で顧客を狙ったりする可能性があるとして、顧客に警告を発している。

　LastPassのデフォルトのマスターパスワード設定（最低12文字で設定するなど）に従っている場合、一般に利用可能なパスワードハッキングの技術を使用してマスターパスワードを推測するには「何百万年も」かかるとトゥバ氏は述べた。だが少しでも推測しやすいマスターパスワードを使っていた場合、状況は急速に悪化する。

　LastPassの法人顧客のうち、特定のアカウント構成に基づいてリスクがあると判断され、特定の措置を取るよう勧告されたのは3％未満だった。

　「これはまだ進行中の調査だ。当社のサービスは通常通り稼働しており、引き続き厳重な警戒態勢を敷いている」（トゥバ氏）

出典：What we know about the LastPass breach (so far)（Cybersecurity Dive）

注1：Notice of Recent Security Incident

注2：LastPass breached, portions of source code stolen, CEO says（Cybersecurity Dive）

注3：LastPass says it contained August breach, leaving customer data and vaults secure（Cybersecurity Dive）

注4：LastPass breach fallout spreads to expose customer data（Cybersecurity Dive）

注5：After LastPass hack, only its master passwords remain uncompromised（Cybersecurity Dive）