パスワード管理サービスを提供するLastPassは9月15日(米国時間)、公式ブログ「Notice of Recent Security Incident」を更新し、8月25日に発覚した不正アクセス事件に関する最新情報を公開した。追加の調査によって、この不正アクセスでは攻撃者が活動できたのは8月の4日間のみであり、影響範囲は同社の開発環境にとどまることが確認されたという。
LastPassは不正アクセスが発覚した後、8月25日にユーザーに対して「2週間前、LastPass 開発環境の一部で異常なアクティビティが検出されました」と通知した。同社は、侵害されたのは同社の開発環境であり、ソースコードと技術情報が盗み出された可能性がある一方で、顧客のマスターパスワードや暗号化された機密情報(Vault)などへのアクセスは確認されていないと説明していた。
今回の発表は、追加の調査によってその影響範囲を明確にしたものである。調査の結果、攻撃者は侵害されたエンドポイントから開発者のアカウント情報を入手し、二段階認証を突破して開発環境へのアクセスに成功したことが分かったという。そして、LastPassが侵害を発見して対処するまでの4日間に渡って、開発環境に不正アクセスすることが可能になっていた。不正アクセスが行われた具体的な日付は明らかにされていない。
LastPassの説明では、開発環境と本番環境は物理的に隔離されているため、攻撃者は本番環境へ直接接続する手段を持っていなかったとされている。また、開発環境には顧客データや暗号化されたVaultは含まれておらず、マスターパスワードにもアクセスできないと説明されている。仮に暗号化されたVaultにアクセスできたとしても、マスターパスワードがなければデータを復号することはできない。
LastPassでは事件発覚後にソースコードの整合性の検証も行い、コードポイズニングや悪意のあるコードインジェクションの試みがないことも確認したという。仮にコードが改変されていたとしても、開発環境から本番環境にプッシュできるのは別のビルドリリースチームに限定されており、(侵害された)開発者の権限ではプッシュできないとのことだ。
その他、サイバー セキュリティ企業と提携して開発ライフサイクルプロセスや脅威モデリングなどを強化したほか、追加のセキュリティソリューションを導入したことも伝えられている。