人気のパスワード管理サービス「LastPass」は昨年、パスワードを含むユーザーの機密データが漏洩する大規模なセキュリティ攻撃に直面しました。12月に同社、は漏洩したデータを攻撃者が入手した事を認め、ユーザーに対しパスワードを変更するようにとの声明を発表していたなか、このセキュリティ侵害が、DevOptsエンジニアのPCから盗まれた認証情報によって引き起こされた事を明らかにしています(9to5Mac)。
LastPassのブログ記事によると、2022年8月にハッカーがAmazon AWSのクラウドサーバーにアクセスしてデータを盗み出すという連携攻撃が発生。同社のクラウドストレージにアクセスできるDevOpsエンジニアから、サーバーの認証情報が盗まれたため、LastPassが不審な行動を検知することが困難だったと説明されています。
ArsTechnicaの情報筋によると、エンジニアのコンピュータは、Plexメディアプラットフォームに見つかった脆弱性を介してハッキングされてたとのこと、実際、LastPassの攻撃から12日後にPlexは、1500万人のユーザーのパスワードが盗まれる攻撃を受けたことを発表しています。
攻撃者がアクセスしたサーバーには、LastPassの顧客データのバックアップと暗号化されたパスワード保管庫のデータが含まれていたとのこと。
LastPassは次のように説明しています。
This was accomplished by targeting the DevOps engineer’s home computer and exploiting a vulnerable third-party media software package, which enabled remote code execution capability and allowed the threat actor to implant keylogger malware. The threat actor was able to capture the employee’s master password as it was entered, after the employee authenticated with MFA, and gain access to the DevOps engineer’s LastPass corporate vault.
これは、DevOpsエンジニアの自宅のコンピュータを標的とし、脆弱なサードパーティメディアソフトウェアパッケージを悪用することで達成されました。これにより、リモートコード実行機能が有効になり、脅威者はキーロガーのマルウェアを移植することが可能になりました。この脅威者は、従業員がMFAで認証した後に入力されたマスターパスワードをキャプチャし、DevOpsエンジニアのLastPass企業保管庫にアクセスすることができたのです。
この事件を受けて、LastPassはセキュリティ侵害の詳細を調査するとともに、今後の攻撃を防ぐために様々な措置を講じています。エンジニアの個人ネットワークのセキュリティ強化の支援や、LastPassのシステムに対する新しい多要素認証の導入が行われ、ハッカーが入手した証明書すでに失効させています。LastPassは保存されたすべてのパスワードを変更するとともに、保管庫のマスターパスワードも変更することを推奨しています。
