サイバー攻撃に「対応できなかった」セキュリティ企業の末路

2022年のサイバー攻撃のうち、最も有名なのはパスワードマネジャーを提供するLastPassの被害だろう。自社を守れなかったセキュリティ企業はユーザーの支持を得られるのだろうか。

[Matt Kapko，Cybersecurity Dive]

　セキュリティ関連の企業がサイバー攻撃を受けてうまく対応できなかった場合、どうやってユーザーの信頼を取り戻せばよいのだろうか。

LastPassはどうやって信頼を回復するのか

　パスワードマネジャーを開発、提供するLastPassの事例が参考になる。

　2022年8月、LastPassのパスワードマネジャーはサイバー攻撃を受け、同年において最も悪名高い不正侵入インシデントの一つになってしまった（注1）。

　顧客の信頼を取り戻すための取り組みの一環として（注2）、数カ月に及ぶセキュリティの全体的な見直しが進んでいる。

　「当社は攻撃後、プラットフォームやインフラストラクチャ、システム全般に投資した。これら全てが、現代的で安全な顧客環境の実現につながると信じている。これまで数年にわたって数百万ドルの投資を下してきた。今も投資を継続する方法を探しており、取り組みは終わっていない」（LastPassのCEO、カリム・トゥバ氏）

顧客の解約が増加

　トゥバ氏が説明するように、この「体系的な見直し」は顧客のセキュリティと企業の展望にとって重要だ。

　セキュリティ対策の一部は改善が完了しているが、まだ進行中の取り組みもある。こうした中、LastPassの一部の顧客の間には、まだ明確な不信感が残っている。全ての顧客の保管データのクラウドバックアップに、侵害を受けた包括的な侵害の傷跡が残っているからだ（注3）。

　トゥバ氏によると、2022年の第4四半期以降、LastPassの顧客の解約が約9％増加した。

　トゥバ氏は、LastPassを使用している企業の数についての明言を避けた。一方で、2023年6月のインタビューで、「Cybersecurity Dive」に対して、次のように述べている。

　「2023年の第1四半期に顧客の更新率が約8％減少した後、当社には約11万5000の企業顧客がいる」

　トゥバ氏は現時点の状況についても説明した。

　「現在、顧客の解約率の改善を確認しており、2024年の初めにはセキュリティインシデント以前の数字に戻ると予想している」

　同社が2023年3月に初めて公表したサイバーセキュリティの改善プロジェクトでは、クラウドセキュリティ態勢管理（CSPM：Cloud Security Posture Management）のレイヤーを全てのクラウドインフラストラクチャに追加した。また、エンドポイントにおける脅威の検出および対応に関連するシステム（EDR）をより効果的なものに切り替えた。

　さらに、LastPassは2023年10月20日のアップデートにおいて（注4）、SASE（Secure Access Service Edge）の展開にも投資し、セキュリティ運用業務の効率化や自動化を実現する技術（SOAR：Security Orchestration, Automation and Response）に関連するプラットフォームのログとアラートを改善した。

　「侵害の原因となった問題に対処するだけでなく、文字通り全てを見直し、あらゆる分野に投資した」（トゥバ氏）

　これらの取り組みに企業顧客がどのように反応するかはまだ分からない。

LastPassの見直しには参考になる部分が多い

　調査会社Forrester Researchのアリー・メレン氏（主席アナリスト）によると、これらの見直しがうまくいくかどうかは、LastPassのインフラがどのように設計されているかによるという。

　「（設計にかかわらず）全体的にセキュリティの見直しは良い方向に進むと思う。認証とアクセスの改善、SBOM（ソフトウェア部品表）に関する取り組み、新しいクラウドセキュリティに対する投資、データ保護の更新は、あらゆる企業が注力しなければならない取り組みだ。ただし、このような投資は技術的なものなので、セキュリティ関係者やLastPassのパートナーにとっては意味を持つものの、消費者にとっては、LastPassがセキュリティを広範に強化したという認識以上の効果はないだろう」（メレン氏）

　LastPassによると、その他のセキュリティの改善点は次の通りだ。

• 新しいソースコード管理システムへの移行
• 新しいポリシーは現在も展開中だが、最終的には全ての顧客に、より長く複雑なマスターパスワードの使用を義務付ける予定（注5）
• Oktaと「Microsoft Entra ID」（旧称Microsoft Azure Active Directory）の主要コンポーネントの強化されたローテーション
• ワンタイムパスワードの回復オプションの改善
• FIDO2ハードウェアセキュリティキーの初期展開
• 2023年9月中旬に、セキュリティ情報およびイベント管理（SIEM）におけるSplunkトークンのリセットと、アクセストークンを暗号化された形式で保存する新しいSIEM統合を展開
• SBOMに対するコードセーフティイニシアチブと、ソフトウェアアーティファクトのサプライチェーンレベルにおけるコンプライアンスの向上

　なおLastPassは、自社が採用したベンダーやセキュリティアーキテクチャの構成を公表していない。

出典：LastPass working through ‘systemic’ security overhaul（Cybersecurity Dive）
注1：LastPass breach timeline: How a monthslong cyberattack unraveled（Cybersecurity Dive）
注2：LastPass CEO reflects on lessons learned, regrets and moving forward from a cyberattack（Cybersecurity Dive）
注3：After LastPass hack, only its master passwords remain uncompromised（Cybersecurity Dive）
注4：What have we done to secure LastPass（LastPass）
注5：What is the LastPass master password?（LastPass）