LastPass が不正アクセスに関するブログ記事を更新し、11 月に発表した 2 回目の不正アクセスでは攻撃者が顧客のパスワード保管庫のバックアップをコピー可能な状態であったことを明らかにした
(LastPass のブログ記事、
The Verge の記事、
Ars Technica の記事、
The Register の記事)。
8 月に発生した最初の不正アクセスでは LastPass 開発環境の一部が侵入を受けた。開発環境に顧客データは含まれないが、ソースコードと技術情報の一部が奪われ、2 回目の攻撃で LastPass 従業員をターゲットにしてクラウドストレージサービスへのアクセスと復号に必要な鍵の窃取に用いられている。
これにより、攻撃者は LastPass 顧客のアカウント情報やメタデータにアクセス可能だったほか、暗号化されたストレージコンテナからパスワード保管庫のバックアップをコピー可能だったという。なお、攻撃者が暗号化されていないクレジットカード情報にアクセスした痕跡はないとのこと。
保管庫はプロプライエタリなバイナリ形式でウェブサイトの URL など暗号化しないデータと、ウェブサイトのユーザー名とパスワード、フォーム入力データなどの暗号化されたデータが格納されている。暗号化されたフィールドには 256-bit AES 暗号化が用いられており、顧客だけが知るマスターパスワードでのみ復号できる。
これにより、顧客が LastPass のベストプラクティスに従ったマスターパスワードを作成して使用している限り、現在一般に利用可能なパスワードクラック技術では数百万年を要するため何もする必要はないという。ただし、弱いマスターパスワードを使用していた場合は各ウェブサイトでパスワードを変更してリスクを最小化することを検討すべきとのことだ。
| セキュリティ
| スラッシュバック
| 情報漏洩
|
関連ストーリー:
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性
2022年12月05日
LastPass、8 月の不正アクセスに関する調査の続報を発表
2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし
2022年08月28日
Source: スラッシュドット
