パスワード管理ソフトの「LastPass」が不正アクセスにより技術情報の流出

先日未読のメールを読んでいると、その中にパスワード管理サービスのLastPassからの英文のメールが届いていました。メールのタイトルは「Notice of Recent Security Incident」です。タイトルから考えると、最近発生したセキュリティ事故を周知する内容のようです。同様に公式ブログでも周知が行われています。

Notice of Recent Security Incident - The LastPass Blog
We are working diligently to understand the scope of the incident and identify what specific information has been accessed.
スポンサーリンク

セキュリティインシデントの概要

この内容によれば、2週間前(8月中旬?)にLastPassの開発環境で異常なアクティビティを検出、調査したことが告げられています。

「この事件が顧客データまたは暗号化されたパスワード保管庫へのアクセスに関係していたという証拠は見られませんでした」と表現されているので、絶対に顧客データや暗号化されたパスワードが流出したことは否定できないものの、少なくともこの時点では流出した痕跡は見つかっていないということのようです。

情報を盗んだ犯人は侵害された一つの開発者アカウントを通じてLastPassの開発環境に侵入し、ソースコードの一部といくつかの技術情報を奪ったと判断されています。すでにLastPassでは対策を取るとともにサイバーセキュリティとフォレンジックの大手企業と契約したことを告げています。フォレンジックとは犯人が侵入したときに環境の中に残した小さな痕跡を見つけていき犯行の全体像を探り出す作業です。

不正アクセスに対するQA

ブログにはQAが付いています。このQAの中ではマスターパスワードとユーザーのマスターパスワードは侵害されていないと断言しています。マスターパスワードについては、LastPassを含む第三者が読み取ることができない形(Zero Knowledge architecture)で管理されているためセキュリティレベルが高いことからこのように断言しているようです。

しかし、「encrypted vault dataへの不正アクセス」については「証拠は示されていない」という少し弱めの表現になっています。個人情報の侵害についても同様に「本番環境における顧客データへの不正アクセスの証拠は示されていません」という弱めの表現になっています。

ユーザーができる対策

同じくQAの中で、「現時点では、ユーザーや管理者に代わって何らかのアクションを実行することはお勧めしません。いつものように, 私たちは、あなたがセットアップと設定に関する私たちのベストプラクティスに従うことをお勧めします」という記載があり、ユーザー側では何もしないように指示されています。

コメント

タイトルとURLをコピーしました