LastPassは12月22日(米国時間)、公式ブログ「Notice of Recent Security Incident」を更新し、同社が本番データのバックアップを保存するために使用しているサードパーティのクラウドストレージサービスに第三者による不正なアクセスがあったことを報告した。この不正アクセスによって、顧客アカウント情報に加えて、暗号化された機密フィールドを含む顧客のVaultsデータのバックアップが流出した恐れがあるという。

  • Notice of Recent Security Incident - The LastPass Blog

    Notice of Recent Security Incident - The LastPass Blog

LastPassでは、2022年8月に開発環境が侵害されてソースコードや技術情報の一部が盗み出されたことを報告している。

これまでの調査で、攻撃者は8月のインシデントで得られた情報を利用して他の従業員のアカウントを侵害し、そこからクラウドストレージサービス内の一部のストレージボリュームにアクセスして復号するための資格情報とキーを取得したことが判明しているという。

LastPassによれば、本番環境はオンプレミスのデータセンターで運用されており、今回標的となったクラウドストレージはバックアップデータの保存などの目的で使用されているものだという。本番環境とクラウドストレージは物理的に分離されており、今回は本番環境は影響を受けていない模様。攻撃者がクラウドストレージへのアクセスキーと復号キーを取得した場合、基本的な顧客アカウント情報に加えて、会社名やユーザー名、請求先住所、顧客がLastPassサービスにアクセスする際に使用した電子メールアドレスや電話番号、IPアドレスなどの関連メタデータを含む情報をバックアップからコピーしたと判断できるとのこと。

さらに攻撃者は、暗号化されたストレージコンテナから顧客のVoultsデータのバックアップをコピーすることができた可能性もあるとLastPassは説明している。このストレージコンテナにはWebサイトのURLなどの暗号化されていないデータと、ユーザー名やパスワード、セキュアメモ、フォーム入力データなどの暗号化された機密フィールドの両方が独自のバイナリ形式で保存されている。暗号化されたフィールドは各ユーザーのマスタパスワードから派生した一意の暗号化キーでのみ復号することができる。マスタパスワードは顧客によってのみ管理されており、LastPassサービス内には保存されていない。

攻撃者が暗号化されたフィールドから機密情報を取得しようとした場合、顧客から別途マスタパスワードを入手するか、ブルートフォース攻撃によってマスターパスワードを推測する必要がある。LastPassの説明によると、同社が提案しているベストプラクティスに従ってマスタパスワードを生成していた場合、これをブルートフォース攻撃で推測することは非常に困難だという。

ただし、攻撃者はすでに顧客の連絡先を含むアカウント情報も取得しているため、フィッシングやソーシャルエンジニアリングなどのその他の攻撃によってマスタパスワードの取得を試みる可能性があると警告している。

LastPassでは、暗号化された機密データを保護するために次のベストプラクティスに従うことを推奨している。

  • マスタパスワードは12文字以上で設定すること(2018年以降は必須)
  • パスワードベースのキー派生関数 (PBKDF2) の反復回数を100,100回に設定すること
  • 他のWebサイトでマスタパスワードを再利用しないこと

PBKDF2反復回数の設定方法は、次のページで解説されている

  • マスタパスワードのPBKDF2反復回数の設定(引用: LastPass)

    マスタパスワードのPBKDF2反復回数の設定 引用:LastPass

2022年8月のインシデント以降、LastPassでは従来の開発環境を完全に廃止し、新しい環境をゼロから再構築することで潜在的な不正アクセスを防止した他、開発者のマシンや開発プロセス、認証メカニズムを一新することで対策を強化している。また、不正なアクティビティを検出するための追加のログ記録およびアラート機能を実装するなど、セキュリティのさらなる強化に努めているという。一連のインシデントについては現在も引き続き調査中であり、同社のサービスは警戒を強めた状態で運用を続けているとのことだ。