LastPass、2022年の不正アクセスで160万人の個人情報漏洩-英国ICOから120万ポンドの罰金(約2億5千万円)

セキュリティニュース

投稿日時: 更新日時:

LastPass、2022年の不正アクセスで160万人の個人情報漏洩-英国ICOから120万ポンドの罰金(約2億数千万円)

パスワード管理サービス「LastPass」が、2022年に発生したデータ侵害をめぐり、英国の情報コミッショナーオフィス(ICO)から120万ポンド(約2億5千万円)の制裁金を科されたことが明らかになりました。


このインシデントでは、世界的に影響が出た中で、英国ユーザー最大160万人分の個人情報および暗号化されたパスワード保管庫(ボルト)が盗まれたとされています。

同時にLastPassは、公式サポートページ上で一般ユーザー向けの「推奨アクション」を公表し、マスターパスワードの強化や設定見直しを促しています。今回の件は、クラウドサービス側のセキュリティだけでなく、「利用者側の設定とパスワード管理の重要性」も浮き彫りにしました。

2段階で進んだ2022年の侵害:開発環境からボルトバックアップまで

ICOの説明や当時のLastPassの発表によると、2022年のインシデントは2つの連続した侵害として進行しました。

1回目は2022年8月、攻撃者がLastPass社員のノートPCを侵害し、一部の開発環境へアクセスしました。
この時点では顧客の個人データは盗まれていないものの、

  • ソースコード

  • 技術情報

  • 社内で使われていた暗号化済みの認証情報(社内用ボルトの一部)

などが持ち出されました。

LastPassは当初、「重要な復号鍵は4人の上級社員のボルトに分かれて保管されているため封じ込められている」と判断していましたが、事態はそこで終わりませんでした。

個人PC上のストリーミングアプリの脆弱性から“突破口”

翌日、攻撃者はその「4人の上級社員」のうち1人を標的に切り替えます。
この社員が自宅の個人端末にインストールしていたサードパーティ製ストリーミングアプリ(一般には Plex と見られている)の既知の脆弱性を悪用し、その端末に侵入しました。

そこからさらに、

  • マルウェアを設置

  • キーロガーで社員のマスターパスワードを盗み取り

  • すでにブラウザに保存されていた「MFA済みクッキー」を悪用して、多要素認証をバイパス

という手順で、社員のLastPassボルトにアクセスすることに成功します。

問題は、この社員が個人用と業務用ボルトで同じマスターパスワードを使い回していたことです。
その結果、攻撃者は業務用ボルトから

  • Amazon Web Services(AWS)のアクセスキー

  • 復号鍵

を入手し、さらにクラウドストレージ事業者 GoTo 上に保存されていたLastPassのデータベースバックアップへ到達しました。

盗まれた情報:暗号化されたボルトと周辺情報

この一連の攻撃により、以下の情報がコピーされたと説明されています。

  • 顧客アカウント情報・メタデータ

    • 企業名

    • 利用者名

    • 請求先住所

    • メールアドレス

    • 電話番号

    • LastPassサービスにアクセスしていたIPアドレス

  • 暗号化されたボルトデータ

    • WebサイトURL(これは平文のまま保存されている)

    • ユーザー名・パスワード

    • セキュアノート

    • フォーム入力データ など(これらは暗号化フィールド)

ICOは、「LastPassの“ゼロナレッジアーキテクチャ”により、マスターパスワードそのものはLastPass側では保持しておらず、攻撃者が一括でボルトを復号した証拠はない」としています。

しかし一方で、LastPass自身は当時のサポート文書の中で、

マスターパスワードの長さや複雑さ、PBKDF2の反復回数によっては、マスターパスワードの変更を検討すべき

と利用者に注意を促していました。
理由はシンプルで、ボルトさえ手に入れば、攻撃者はオフライン環境で好きなだけ総当たり攻撃(GPUによるブルートフォース)を行えるからです。

実際、一部の研究者は「弱いマスターパスワードを使っていたボルトが破られ、暗号資産関連のアカウントが不正利用された」とする調査結果を公表しており、暗号化されているからといって完全に安全とは言えない現実が示されています。

英ICOが指摘した「期待された保護水準」と制裁金

今回、英国ICOはLastPassに対して120万ポンドの罰金を科しました。
情報コミッショナーのJohn Edwards氏は、

  • パスワードマネージャー自体はセキュリティ上重要なツールである

  • だからこそ、それを提供する企業には、極めて高い水準のアクセス管理と内部防御が求められる

と強調しています。

利用者にとっては「最も大事な秘密」を預けているサービスであり、それを担う事業者には、通常のWebサービス以上の厳格な管理が期待される――その期待を十分に満たせなかった、というのが今回の行政判断と言えます。

LastPassはBleepingComputerへのコメントで、

  • 2022年の報告以来、ICOには継続的に協力してきた

  • 結果には失望しているが、ICOが当社のセキュリティ強化の取り組みも評価している点は歓迎している

  • 今後も顧客へのサービス提供に注力する

としています。

参照

UK fines LastPass over 2022 data breach impacting 1.6 million users