LastPassは8月25日(米国時間)、公式ブログ「Notice of Recent Security Incident」において、同社の開発環境が不正アクセスに遭い、LastPassのソースコードおよび技術情報の一部が盗み出される事態が発生したと伝えた。不正アクセスを受けたのは開発環境のみであり、顧客のマスターパスワードや機密情報などへのアクセスは確認されていないという。

  • Notice of Recent Security Incident - The LastPass Blog

    Notice of Recent Security Incident - The LastPass Blog

LastPassでは、2週間前にLastPass開発環境の一部で異常なアクティビティを検出して調査した結果、第三者によって1つの開発者アカウントが侵害されたことを確認したという。同社では、この不正アクセスによってソースコードの一部とLastPassの技術情報の一部が盗み出されたと判断している。

このインシデントに対して、LastPassでは大手サイバーセキュリティ企業およびフォレンジック企業と提携して調査を行うと同時に、封じ込めと追加のセキュリティ対策を実施したとのこと。調査の結果、それ以上の不正な活動の証拠は見つからなかったと報告している。報告では、特に次の情報に対する侵害は確認されなかったことが強調されている。

  • ユーザーのマスターパスワード
  • ユーザーの環境(vaults)および環境内のデータ
  • ユーザーの個人情報

マスターパスワードについては、もともとLastPassを含む第三者が読み取れる形で保管されていない。また、ユーザの環境については暗号化されており、ユーザ自身だけが復号化するためのアクセス権限を持っているという。

LastPassでは、今回のインシデントに対してユーザ自身が何らかのアクションを起こす必要はないとしている。ユーザに対しては、同日付けでインシデントの発生を伝えるメールが送られている。