はじめに
英国情報コミッショナーオフィス(ICO)は、パスワード管理サービスを提供するLastPassに対し、2022年のデータ侵害に関連して120万ポンド(約2.2億円)の罰金を科しました。この侵害により、最大で160万人の英国内ユーザーの個人情報および暗号化されたパスワードボールトが流出したとされています。
データ侵害の詳細
ICOによると、このインシデントは2022年8月に始まった相互に関連する2つの侵害に起因します。
- 最初の侵害は2022年8月に発生し、ハッカーがLastPass従業員のラップトップを侵害し、同社の開発環境の一部にアクセスしました。この際、個人データの流出はなかったものの、攻撃者はソースコード、独自の技術情報、および暗号化された企業資格情報を入手しました。
- LastPassは当初、復号化キーが4人の上級従業員のボールトに別々に保存されていたため、侵害は収束したと考えていました。しかし翌日、攻撃者はサードパーティのストリーミングアプリケーション(Plexと推定)の既知の脆弱性を悪用し、これらの上級従業員の一人の個人デバイスを標的としました。
- このアクセスを通じて、ハッカーはマルウェアを展開し、キーロガーを使用して従業員のマスターパスワードを奪取し、さらに既にMFA認証されたクッキーを利用して多要素認証(MFA)をバイパスしました。
- 当該従業員が個人用と業務用ボールトの両方に同じマスターパスワードを使用していたため、攻撃者は業務用ボールトにアクセスし、Amazon Web Servicesアクセスキーと復号化キーを盗み出しました。これらのキーは、以前盗まれた情報と組み合わされ、攻撃者がクラウドストレージ企業GoToを侵害し、同プラットフォームに保存されていたLastPassのデータベースバックアップを盗み出すことを可能にしました。
流出した顧客情報
盗まれたデータベースには、顧客の暗号化されたパスワードボールトのメタデータに加え、氏名、メールアドレス、電話番号、顧客アカウントに関連するWebサイトURLなどの個人情報が含まれていました。LastPassの当時のCEO Karim Toubba氏は、「脅威アクターは、企業名、エンドユーザー名、請求先住所、メールアドレス、電話番号、顧客がLastPassサービスにアクセスしていたIPアドレスなど、基本的な顧客アカウント情報と関連メタデータを含むバックアップから情報をコピーした」と説明しました。また、「脅威アクターは、WebサイトのURLなどの暗号化されていないデータと、Webサイトのユーザー名やパスワード、安全なメモ、フォーム入力データなどの完全に暗号化された機密フィールドの両方を含む、顧客ボールトデータのバックアップを盗み出すことも可能だった」と述べています。
「ゼロ知識アーキテクチャ」とパスワードの安全性
ICOは、LastPassの「ゼロ知識アーキテクチャ」により、マスターパスワードがLastPassに知られることも保存されることもないため、攻撃者が顧客のパスワードボールトを復号化することはなかったと主張しています。しかし、LastPassは以前、暗号化されたボールトのセキュリティはユーザーのマスターパスワードの強度に依存すると警告し、脆弱なパスワードはリセットするよう助言していました。これは、GPUを搭載したブルートフォース攻撃により、ボールトの暗号化に使用される脆弱なマスターパスワードが解読され、脅威アクターがアクセスできる可能性があるためです。一部の研究者は、この種の攻撃が既に発生し、脆弱なパスワードのLastPassボールトが解読され、仮想通貨盗難攻撃が行われたと主張しています。
ICOからの勧告と今後の対策
情報コミッショナーのジョン・エドワーズ氏は、パスワードマネージャーがセキュリティにとって重要なツールである一方で、サービスを提供する企業はアクセス制御と内部システムを標的型攻撃から保護するために強化する必要があると述べました。彼は、LastPassの顧客が個人情報が保護されることを合理的に期待しており、同社がこの義務を怠ったことが今回の罰金につながったと強調しました。
ICOは、組織に対し、デバイスのセキュリティ、リモートワークのリスク、アクセス制限を見直すよう奨励しています。顧客もまた、強力で複雑なパスワードを使用するべきです。LastPassは、最低でも12文字で、大文字、小文字、数字、記号、特殊文字を含めることを推奨していますが、このような攻撃では、計算能力の向上とオフラインでの解読が発生する可能性があるため、特にパスワードボールトのような非常に機密性の高い情報を保護するためには、最低でも16文字以上のマスターパスワード、または長い多単語パスフレーズを使用することがより安全であるとされています。