LastPassで最悪のセキュリティ侵害が発生 。顧客のパスワード保管庫も流出

LastPassは12月22日(現地時間)、2022年8月に発生したセキュリティ侵害被害について最新のコメントを発表しました(9to5Mac)。セキュリティ被害は当初の予想よりも深刻で、顧客のパスワード保管庫のコピーや、名前、電子メール、請求先住所、電話番号などが取得されていたとのことです。

LastPassのCEOであるKarim Toubba氏は、同社のブログを更新し、セキュリティ侵害の詳細の全貌を説明しています。ハッカーはまず、名前、住所、電子メール、電話番号などの顧客情報にアクセスできたとのこと。

To date, we have determined that once the cloud storage access key and dual storage container decryption keys were obtained, the threat actor copied information from backup that contained basic customer account information and related metadata including company names, end-user names, billing addresses, email addresses, telephone numbers, and the IP addresses from which customers were accessing the LastPass service

現在までのところ、クラウドストレージのアクセスキーとデュアルストレージコンテナの復号キーを入手すると、脅威者はバックアップから、会社名、エンドユーザー名、請求先住所、メールアドレス、電話番号、顧客がLastPassサービスにアクセスしているIPアドレスなどの基本顧客アカウント情報および関連メタデータを含む情報をコピーしたと判断しています。

最悪なことに顧客のパスワード保管庫もコピーされたようです。

The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data. These encrypted fields remain secured with 256-bit AES encryption and can only be decrypted with a unique encryption key derived from each user’s master password using our Zero Knowledge architecture. As a reminder, the master password is never known to LastPass and is not stored or maintained by LastPass. The encryption and decryption of data is performed only on the local LastPass client. For more information about our Zero Knowledge architecture and encryption algorithms, please see here.

このコンテナには、ウェブサイトの URL などの非暗号化データと、ウェブサイトのユーザー名やパスワード、セキュアノート、フォームに記入されたデータなどの完全に暗号化された機密フィールドの両方が、独自のバイナリ形式で保存されています。これらの暗号化されたフィールドは256ビットAES暗号化で保護され、ゼロナレッジアーキテクチャを使用して各ユーザーのマスターパスワードから得られる固有の暗号化キーによってのみ復号化することが可能です。マスターパスワードはLastPassに知られることはなく、LastPassによって保存、管理されることもありません。データの暗号化および復号化は、ローカルのLastPassクライアントでのみ行われます。ゼロナレッジアーキテクチャと暗号化アルゴリズムの詳細については、こちらをご覧ください。

パスワード保管庫はマスターパスワードによって保護されていますが、ハッカーはブルートフォース攻撃、フィッシング攻撃、ソーシャルエンジニアリング攻撃などの手法で、マスターパスワードを解析し、内部の情報を読み取る可能性があります。

LastPassは、調査はまだ進行中であり、今後ユーザーが実行する必要があるアクションについて更新する予定だと説明しています。LastPassを使用している/いた方は、重要なパスワードを早めに変更しておいた方が良いかもしれません。