btzgrp
  • エンタープライズCA証明書の更新 - TechRepublic
Headlines

LastPassが新たなセキュリティインシデントの開示と推奨事項を発表

05 mins
LastPassが新たなセキュリティインシデントの開示と推奨事項を発表
iPhoneに表示されているLastPassモバイルアプリのアイコン。LastPassは、暗号化されたパスワードをオンラインで保存するフリーミアムパスワードマネージャーです。
画像: Tada Images/Adobe Stock

LastPassは昨年、同じ犯人によって2回ハッキングされた。1件目は2022年8月下旬、もう1件は2022年11月30日に報告された。世界的なパスワード管理企業である同社は水曜日、セキュリティインシデント調査の新たな結果と、影響を受けたユーザーや企業への推奨措置をまとめたレポートを発表した。

ジャンプ先:

  • LastPass攻撃がどのように発生し、何が侵害されたのか
  • LastPassからのセキュリティ推奨事項
  • LastPassの代替とハッキングの影響
  • パスワードのない未来

LastPass攻撃がどのように発生し、何が侵害されたのか

LastPassの報道によると、ハッカーは8月にソフトウェアエンジニアの社内ラップトップに侵入しました。最初の攻撃は、最初のセキュリティインシデントでハッカーが窃取した情報をハッカーが活用できたため、非常に重大なものでした。その後、ハッカーはサードパーティのメディアソフトウェアパッケージの脆弱性を悪用し、2度目の協調攻撃を開始しました。2度目の攻撃は、DevOpsエンジニアの自宅のコンピュータを標的としました。

「脅威の攻撃者は、従業員がMFAで認証した後に入力されたマスターパスワードを盗み取り、DevOpsエンジニアのLastPass企業保管庫へのアクセスを獲得することができた」と、同社の最近のセキュリティインシデント報告書には詳述されている。

LastPassは、2件目のインシデントにおいて、攻撃者が同社のデータ保管庫、クラウドベースのバックアップストレージ(設定データ、APIシークレット、サードパーティ統合シークレット、顧客メタデータを含む)、およびすべての顧客保管庫データバックアップにアクセスしたことを確認しました。LastPassの保管庫には、Amazon Web Servicesクラウド環境でユーザーがデータを保存しているAmazon S3バケットに保存されている顧客保管庫バックアップの暗号化キーを含む共有クラウドストレージ環境へのアクセスも含まれます。

2回目の攻撃は、LastPassの社内保管庫にアクセスできるわずか4人の従業員のうちの1人を標的としており、非常に的を絞った綿密な調査に基づいていました。ハッカーは保管庫を復号した後、AWS S3のLastPass本番環境バックアップ、その他のクラウドベースのストレージリソース、そして関連する重要なデータベースバックアップへのアクセスに必要な復号鍵を含むエントリをエクスポートしました。

LastPassからのセキュリティ推奨事項

LastPassは、影響を受けるユーザーと企業に対し、2つのセキュリティ情報で推奨事項を発表しました。以下は、これらの情報の主な詳細です。

セキュリティ速報:LastPassの無料版、プレミアム版、ファミリー向け推奨アクションには、主にマスターパスワードを中心としたベストプラクティス、強力なパスワードの作成方法、多要素認証などのセキュリティ強化策の有効化方法などが含まれています。同社はまた、ユーザーに対しパスワードのリセットを強く推奨しています。

LastPassのマスターパスワードは、理想的には16~20文字で、大文字、小文字、数字、記号、特殊文字を少なくとも1つずつ含み、他のサイトで使用されていない固有のパスワードにする必要があります。LastPassのマスターパスワードをリセットするには、LastPassの公式ガイドに従ってください。

LastPassは、ユーザーに対し、セキュリティダッシュボードを使用して現在のパスワード強度のセキュリティスコアを確認し、ダークウェブ監視機能をオンにして確認し、デフォルトのMFAを有効にするよう求めました。ダークウェブ監視機能は、ユーザーのメールアドレスがダークウェブのフォーラムやサイトに掲載された場合に警告を発します。

「セキュリティ速報:LastPassビジネス管理者向け推奨アクション」は、イベント後にLastPassを利用する企業を支援するために特別に作成されました。より包括的なガイドには、以下の10項目が含まれています。

  • マスターパスワードの長さと複雑さ。
  • マスター パスワードの反復回数がカウントされます。
  • スーパー管理者のベストプラクティス。
  • MFA 共有秘密。
  • SIEM Splunk 統合。
  • 暗号化されていないデータによる漏洩。
  • パスワード アプリ (ユーザーへのサイトのプッシュ) の廃止。
  • SCIM、エンタープライズ API、および SAML キーをリセットします。
  • フェデレーション顧客に関する考慮事項。
  • 追加の考慮事項。

スーパー管理者であるLastPassユーザーには、平均的な管理者の権限を超える追加権限が付与されます。その広範な権限を考慮し、LastPassは攻撃後、スーパー管理者ユーザー向けの特別な推奨事項を発表しました。LastPassのスーパー管理者に関する推奨事項には、以下のものがあります。

  • マスター パスワードと反復のベスト プラクティスに従います。スーパー管理者ユーザーが強力なマスター パスワードと強力な反復回数を持っていることを確認します。
  • 「スーパー管理者にマスターパスワードのリセットを許可する」ポリシー権限を持つスーパー管理者を確認する:スーパー管理者にマスターパスワードのリセットを許可するポリシーが有効になっている場合、ユーザーがスーパー管理者のマスターパスワードが弱い、または反復回数が少ないことを特定した場合、そのLastPassテナントはリスクにさらされている可能性があります。これらの管理者は必ず確認する必要があります。
  • セキュリティ レビューの実施:企業は、LastPass Business アカウントに対するさらなるアクションを決定するために、包括的なセキュリティ レビューを実施する必要があります。
  • レビュー後のアクション:リスクのあるスーパー管理者アカウントを特定し、弱いマスター パスワードまたは反復回数を持つスーパー管理者が次のアクションを実行する必要があることを確認します。
    • フェデレーション ログイン カスタマー: すべてのユーザーのフェデレーション解除と再フェデレーションを検討し、すべての Vault 資格情報をローテーションするようにユーザーに要求します。
    • 非フェデレーション ログインのお客様: ユーザーのマスター パスワードをリセットすることを検討し、ユーザーにすべての Vault 資格情報をローテーションするよう要求します。
  • 資格情報のローテーション: LastPass は、リスクベースのアプローチを使用して、エンドユーザーの金庫内の重要な資格情報のローテーションを優先することを提案しています。
  • 「スーパー管理者に共有フォルダへのアクセスを許可する」権限を持つスーパー管理者を確認します。スーパー管理者のパスワードが脆弱であると判断された場合は、マスターパスワードをリセットします。共有フォルダの資格情報をローテーションします。
  • MFA を調査する:有効な多要素認証レポートを生成し、MFA オプションを有効にしているユーザーと、そのユーザーが使用している MFA ソリューションを表示します。
  • MFA シークレットをリセットします。LastPass Authenticator、Google Authenticator、Microsoft Authenticator、または Grid の場合、すべての MFA シークレットをリセットします。
  • ユーザーにメールを送信: MFA共有シークレットをリセットすると、LastPassのすべてのセッションと信頼済み​​デバイスが破棄されます。サービスを引き続きご利用いただくには、再度ログインし、位置情報の確認を行い、それぞれのMFAアプリを再度有効化する必要があります。LastPassは、再登録手続きに関する情報を記載したメールを送信することを推奨しています。
  • コミュニケーション:セキュリティインシデントレポートと対応策を伝達します。フィッシングやソーシャルエンジニアリングの手法についてユーザーに警告します。

LastPassの代替とハッキングの影響

LastPassは、サービスへの今後のアクセスを抑制し、根絶するために必要な措置を講じたと自信を示しています。しかし、Wiredによると、LastPassに関する前回の暴露は非常に懸念されるものであり、セキュリティ専門家は急速に「ユーザーに他のサービスへの乗り換えを呼びかけ始めた」とのことです。LastPassの主な競合サービスには、1PasswordやDashlaneなどがあります。

参照:Bitwarden vs 1Password | Keeper vs LastPass (TechRepublic)

専門家たちは、LastPassの透明性にも疑問を呈している。同社はセキュリティインシデントの声明の日付を公表しておらず、2回目の攻撃が発生した正確な日時や、ハッカーがシステム内に侵入した時間についても依然として正確な記録を明らかにしていない。ハッカーがシステム内に侵入した時間は、悪用される可能性のあるデータやシステムの量に大きな影響を与えるからだ。(LastPassにコメントを求めたが、本稿執筆時点で返答は得られなかった。)

LastPassユーザーにとって、これらの最近のセキュリティインシデントの影響は明らかです。同社は、侵害されたデータがダークウェブで販売またはマーケティングされている兆候はないと保証していますが、企業管理者はLastPassが発行する詳細な推奨事項に対処する必要があります。

パスワードのない未来

残念ながら、パスワードマネージャーへのハッキングの傾向は目新しいものではありません。LastPassは2016年以降、毎年セキュリティインシデントを経験しており、Best Reviewsの報告によると、Norton LifeLock、Passwordstate、Dashlane、Keeper、1Password、RoboFormといった他の主要パスワードマネージャーも、標的にされたり、侵害を受けたり、脆弱性が判明したりしています。

サイバー犯罪者は、数百万ものアカウント(ビジネスクリティカルなシステムやデジタル資産がホストされているクラウドアカウントを含む)へのアクセスに利用可能な機密データを保有するパスワードマネージャー企業をますます標的にしています。競争の激しい市場環境において、サイバーセキュリティの実践、透明性、侵害、そしてデータ流出は、これらのパスワードマネージャー企業の将来に影響を与える可能性があります。

SkyQuestのレポートによると、パスワードマネージャー市場は2028年までに70億9000万ドルに達すると予想されていますが、FIDOアライアンスの下でApple、Microsoft、Googleが推進するパスワードレスの未来が勢いを増し続けるのは当然のことです。TechRepublicが1Passwordに最近行った、パスワードレスの未来に向けた計画に関するインタビューをご覧ください。

Tagged:

Related News