LastPassは本日、セキュリティ侵害による被害に関する最新の声明を発表しました。12月初旬には攻撃の範囲は明らかにされていませんでしたが、同社は顧客のパスワード保管庫のコピーに加え、氏名、メールアドレス、請求先住所、電話番号などが取得されたことを明らかにしました。以下に、知っておくべきことをまとめました。
LastPass の CEO、Karim Toubba 氏が本日、同社のブログ (TechCrunch が発見) にアップデートを投稿しました。
同社は11月30日に、2022年8月の事件後のある時点で実際にシステムが侵害されたと発表したが、今回、被害のより詳細な状況が明らかになった。
まず、LastPass は、ハッカーが名前、住所、電子メール、電話番号などの顧客情報にアクセスできると主張しています。
「これまでのところ、クラウドストレージのアクセスキーとデュアルストレージコンテナの復号キーが入手された後、脅威の攻撃者は、会社名、エンドユーザー名、請求先住所、メールアドレス、電話番号、顧客がLastPassサービスにアクセスしていたIPアドレスなど、基本的な顧客アカウント情報と関連メタデータを含むバックアップから情報をコピーしたことが判明しています。」
さらに懸念されるのは、この事件中に顧客のパスワード保管庫もコピーされたことだ。
脅威アクターは、暗号化されたストレージコンテナから顧客の保管庫データのバックアップをコピーすることにも成功しました。このデータは独自のバイナリ形式で保存されており、ウェブサイトのURLなどの暗号化されていないデータと、ウェブサイトのユーザー名やパスワード、セキュリティメモ、フォーム入力データなどの完全に暗号化された機密フィールドの両方が含まれています。 これらの暗号化フィールドは256ビットAES暗号化で保護されており、ゼロナレッジアーキテクチャを使用して各ユーザーのマスターパスワードから生成された固有の暗号化キーでのみ復号可能です。なお、マスターパスワードはLastPassには一切開示されておらず、LastPassによって保存または維持されることもありません。 データの暗号化と復号は、ローカルのLastPassクライアント上でのみ実行されます。ゼロナレッジアーキテクチャと暗号化アルゴリズムの詳細については、こちらをご覧ください。
ユーザーのパスワードボルトはマスターパスワードによって保護されていますが、ハッカーはブルートフォース攻撃、フィッシング攻撃、ソーシャルエンジニアリング攻撃を仕掛けてくる可能性があります。LastPassをご利用の方は、特にご注意ください。
時間はかかりますが、最も安全な行動計画は、LastPass に保存されているすべてのパスワードを変更することです。
LastPassは、調査はまだ継続中であり、「調査結果をお知らせするとともに、当社が講じている措置やお客様が実行する必要がある措置について最新情報をお伝えすることに尽力しています」と述べています。
顧客がとるべき対応についてのアドバイスを含む、LastPass からの完全なセキュリティ アップデートを確認してください。
swiipo.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
