「何にお金を払っていたのか」パスワード管理ツールの漏えいに専門家も困惑
パスワード管理ツール「LastPass」の情報漏えいの影響が拡大している。専門家が同社のこれまでの対応を批判するワケとは。
2022年8月に発生したパスワード管理ツール「LastPass」の情報漏えいは、2022年で最も憂慮すべきセキュリティインシデントの一つだった。同社が脅威を封じ込めたと主張した数カ月後、年末が近づくにつれて影響が拡大してきた。サイバーセキュリティアナリストや研究者によると、LastPassのユーザーと企業顧客は、パスワード保管庫のデータ流出の影響を厳重に警戒し、全てのパスワードを直ちに変更する必要がある。
正体不明の脅威アクターが同社のクラウドベースのストレージ保管庫にアクセスしたことにより、パスワード管理ツールが保有するデータのほとんどが危険にさらされた(注1)。このデータには、暗号化されたパスワードとユーザー名、顧客がLastPass経由でアクセスしたWebサイト、電子メールアドレス、電話番号、顧客がプラットフォームにアクセスするために使用したIPアドレスなどの非暗号化データが含まれる。暗号化されていないデータにより、攻撃者はフィッシングやソーシャルエンジニアリングでユーザーになりすまし、マスターパスワードを共有させることができる特定の企業やURLを知ることができる。
Sophosの主任研究員であるチェスター・ウィスニウスキー氏は「LastPassが誤ってユーザーのマスターパスワードを記録していない限り、さらに自体は悪化することになる」と述べる。
LastPass側は「大丈夫」と主張するも、専門家は反論
LastPassのカリム・トゥバCEOは、暗号化されたフィールドとマスターパスワードは安全なままだと主張しているが、サイバーセキュリティの専門家はその主張に異議を唱え、これまでのインシデントへの対応について同社を批判している(注2)。
Gartnerのアナリストであるカテル・ティーレマン氏は「(ユーザーへの)連絡が遅かったため、問題が深刻になった。対処方法についても沈黙を守っているようだ」と指摘する。同氏は「LastPassがこれまで行ってきたこの侵害への対応は『こうしてはいけない』という手本だ」と述べた。
また、少なくとも12文字のマスターパスワードを一般に入手可能なツールを使って推測するには「何百万年もかかる」というトゥバ氏の主張にも、アナリストや研究者が反論している。Taniumのエンドポイントセキュリティに関するリサーチディレクターであるメリッサ・ビスショピング氏は「これらのパスワードを解読することは可能だ。最新の機器でパスワードを解読するのがどれほど複雑かを計算するよりも、攻撃者に先回りして資格情報の衛生管理(credential hygiene)を行うのが最善だ」。
Forresterのシニアアナリストであるジェス・バーン氏は、ユーザーはマスターパスワードをすぐに変更してから、保管庫に保存されている全てのサイトとアカウントのパスワードを変更する必要があると述べる。また、同氏はサードパーティーによって検証されたデジタル証明書や、単一要素のバイオメトリクスを使用したネイティブモバイル認証システムを使用して、従業員の認証に階層化されたアプローチを適用することで、パスワードレス化を検討するよう企業顧客に勧めた。
ティーレマン氏は「ユーザーの観点からすると、これは非常に紛らわしいことだ。ベンダーに(料金を)支払ってパスワードを保護したはずが、全ての情報が危険にさらされていると聞けば、いったい何に対して支払ったのかということになる」と述べている。
LastPassは3300万人を超える登録ユーザーと、10万社を超える企業顧客に使用されている。「LastPassは影響やリスク、次のステップについて、より透明性を高める必要がある。これは、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が率いる『Cyber Safety Review Board』(注3)による調査の優先候補となるはずだ」とティーレマン氏は述べる。
© Industry Dive. All rights reserved.
関連記事
「パスワード管理、ヨシ」のはずが2度目の流出、その悲劇の背景
パスワード管理ツール「LastPass」は2022年8月のデータ流出からわずか3カ月で「2度目のデータ流出」が起きてしまった。専門家が語るその原因とは。
攻撃は1回で終わらず 不正アクセスされたパスワード管理「LastPass」に起こったこと
サイバー攻撃を受け、被害が軽微なものだったとしよう。だが本当に被害がなかったかどうかは後になってみなければ分からない。1回目の攻撃は単なる偵察や事前情報の収集だったのかもしれないからだ。パスワード管理ツールを提供する企業に起こった事例を紹介する。
IPAが「情報セキュリティ10大脅威 2023」を発表 ランサムウェアやフィッシングはどの程度危険?
IPAが「情報セキュリティ10大脅威 2023」を発表した。個人に対する脅威と組織に対する脅威に分かれており、ランサムウェアやサプライチェーン攻撃、標的型攻撃などさまざまな脅威が登場した。2022年版と比較して状況はどのように変わったのだろうか。