LastPass、不正アクセスに関する調査の続報発表
2022年9月21日 11:32
headless 曰く、 LastPass が 8 月に発生した不正アクセスの調査について続報を発表している(The LastPass Blog の記事、Ghacks の記事)。
不正アクセスは開発者アカウントの一つが侵害され、開発環境の一部が侵入を受けたというもの。LastPass がサイバーセキュリティ企業 Mandiantと協力して進めていた調査は完了しており、不正アクセスは 4 日間に限られることが確認できているという。最初のエンドポイント侵害手法について結論は出ていないものの、攻撃者は開発者が多要素認証に成功してから継続的になりすましを続けたとのこと。
LastPass では不正アクセスが開発環境に限られ、顧客データにアクセスされた痕跡はないと説明していたが、根拠は示していなかった。今回の発表では、開発環境がプロダクション環境と物理的に分離していて直接接続する手段がないこと、開発環境に顧客データや暗号化されたパスワード保管庫は含まれないこと、LastPass は顧客のマスターパスワードを保持していないため、パスワード保管庫を復号できるのはオーナーのみであること、を挙げている。
また、攻撃者がソースコードに悪意あるコードを挿入しようとした痕跡はないが、開発者の権限では開発環境からプロダクション環境にソースコードをプッシュすることもできないとのこと。LastPass では今回の問題を受け、エンドポイントのセキュリティコントロールと監視の強化を含むセキュリティ強化をデプロイしたとのことだ。