パスワード管理サービスを提供するLastPassは11月30日(米国時間)、公式ブログ「Notice of Recent Security Incident - The LastPass Blog」を更新し、同社の顧客情報にアクセスしたセキュリティインシデントについて調査中であると伝えた。先日、LastPassとその関連会社であるGoToが共有しているサードパーティのクラウドストレージサービスに、異常なアクティビティが検出されたことが報告されている。
-
Notice of Recent Security Incident - The LastPass Blog
LastPassが利用しているクラウドストレージサービスにおいて異常なアクティビティが検出されたため、直ちに調査が開始され、Mandiantに依頼するとともに法執行機関に通報したことが明らかとなった。調査した結果、2022年8月の事件で入手した情報が悪用され、不正な第三者がLastPassユーザー情報にアクセスできたことが判明した(参考「パスワード管理サービス「LastPass」に不正アクセス、技術情報が盗まれる | TECH+(テックプラス)」)。
現在のところ、侵害の詳細については報告されておらず、どの程度の影響を受けたかどうかは不明とされている。ただし、ユーザーのパスワードは安全に暗号化されたままで漏洩しなかったことが報告されている。
LastPassはインフラストラクチャ全体に強化されたセキュリティ対策と監視機能を展開し、攻撃者の検知および防止ができるよう努力を続けていくと表明。引き続き、詳細が判明次第、最新情報を共有していくと述べている。
