英国情報コミッショナー事務局(ICO)は、パスワード管理会社LastPassがセキュリティ対策を怠り、2022年に発生した侵入事件で、攻撃者が最大160万人の英国ユーザーの個人情報と暗号化されたパスワード保管庫を盗み出したとして、120万ポンドの罰金を科した。
ICOによると、この事件は2022年8月に始まった2つの相互に関連した侵害に起因している。
最初の侵害は2022年8月に発生し、ハッカーがLastPassの従業員のノートPCに侵入し、同社の開発環境の一部にアクセスした。
このインシデントでは個人情報は取得されませんでしたが、攻撃者は同社のソースコード、独自の技術情報、暗号化された企業認証情報を取得することができました。LastPassは当初、これらの認証情報の復号キーが4人の上級社員の金庫に別々に保管されていたため、侵入は食い止められたと考えていました。
しかし翌日、攻撃者はそのうちの一人を標的に、従業員の個人デバイスにインストールされていたPlexと思われるサードパーティ製ストリーミングアプリケーションの既知の脆弱性を悪用しました。
このアクセスにより、ハッカーはマルウェアを展開し、キーロガーを使って従業員のマスター・パスワードを取得し、すでにMFA認証済みのクッキーを使って多要素認証をバイパスした。
この従業員は個人用とビジネス用の両方のデータ保管庫で同じマスター・パスワードを使用していたため、攻撃者はビジネス用のデータ保管庫にアクセスし、Amazon Web Servicesのアクセス・キーと復号化キーを盗むことができました。
これらのキーと以前に盗まれた情報を組み合わせることで、攻撃者はクラウドストレージ会社GoToに侵入し、プラットフォームに保存されているLastPassデータベースのバックアップを盗むことができました。
侵害で盗まれた顧客データ
盗まれたデータベースに保存されていた個人情報には、暗号化されたパスワード保管庫、名前、メールアドレス、電話番号、顧客アカウントに関連するウェブサイトのURLなどが含まれていた。
「脅威者はバックアップから、企業名、エンドユーザー名、請求先住所、メールアドレス、電話番号、顧客がLastPassサービスにアクセスしているIPアドレスなど、基本的な顧客アカウント情報と関連するメタデータを含む情報をコピーした。
“脅威者はまた、ウェブサイトのURLのような暗号化されていないデータだけでなく、ウェブサイトのユーザー名やパスワード、セキュアノート、フォームに入力されたデータのような完全に暗号化された機密フィールドの両方を含む独自のバイナリ形式で保存されている暗号化されたストレージコンテナから、顧客のデータ保管庫のデータのバックアップをコピーすることができました。”
ICOは、LastPassの “Zero Knowledgeアーキテクチャ “が保管庫の復号化に使用されるマスターパスワードを知らず、保存もせず、顧客のみが知っているため、攻撃者は顧客のパスワード保管庫を復号化しなかったと主張している。
しかし、LastPassは以前、暗号化された保管庫のセキュリティは顧客のマスターパスワードの強さに依存すると警告し、弱いパスワードはリセットするようアドバイスしていた。
「マスターパスワードの長さや複雑さ、反復回数の設定によっては、マスターパスワードをリセットした方がよいかもしれません。
これは、GPUを使ったブルートフォース攻撃によって、保管庫の暗号化に使われている脆弱なマスターパスワードが解読され、脅威者がアクセスできるようになるためだ。
研究者の中には、このようなことが既に起きていると主張する者もおり、彼らの調査によると、脆弱なパスワードが設定されたLastPassの保管庫が暗号化解除され、暗号通貨を盗む攻撃が行われているとのことだ。
パスワードセキュリティのヒント
情報コミッショナーのジョン・エドワーズは、パスワード・マネージャーはセキュリティにとって重要なツールであることに変わりはないが、そのようなサービスを提供している企業は、アクセス制御と内部システムが標的型攻撃に対して強化されていることを保証しなければならないと述べた。
同氏は、LastPassの顧客には個人情報が保護されるという合理的な期待があり、同社はこの義務を果たさなかったため、本日発表された罰則につながったと強調した。
ICOは組織に対し、デバイスのセキュリティ、リモートワークのリスク、アクセス制限を見直すよう奨励している。
また、顧客は強固で複雑なパスワードを使用していることを確認する必要がある。LastPassは、少なくとも12文字以上で、大文字と小文字、数字、記号、特殊文字を含むパスワードを推奨している。
しかし、計算能力が向上し、オフラインでクラッキングが可能な今回のような攻撃では、少なくとも16文字のマスターパスワード[1,2]、またはパスワード保管庫のような機密性の高い情報を保護するための長い複数単語のパスフレーズを使用する方が安全です。
この記事の公開後、LastPassは以下の声明を.NETと共有した。
「LastPassは.comに対し、「我々は2022年に初めてこの件を英国ICOに報告して以来、協力してきました。
“今回の結果は残念ではありますが、ICOの決定が、当社のプラットフォームをさらに強化し、データセキュリティ対策を強化するために当社がすでに行ってきた多くの努力を認めてくれたことを嬉しく思います。”
“私たちの焦点は、LastPassを引き続きご利用いただいている10万社の企業および数百万人の個人消費者の皆様に、可能な限り最高のサービスをお届けすることに変わりはありません。”
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Bitpanda、KnowBe4、PathAIのようなIAMサイロを破壊する
壊れたIAMはITだけの問題ではありません – その影響はビジネス全体に波及します。
この実用的なガイドでは、従来の IAM の慣行が現代の要求に追いつけない理由、「優れた」 IAM とはどのようなものかの例、拡張可能な戦略を構築するための簡単なチェックリストについて説明します。
Comments