セキュリティインシデントは多くの企業にとって他人事ではない状況になっている。いつ自社がこうしたサイバー攻撃の被害者となるかもしれず、インシデント報告を見る側から行う側になるリスクが常に存在している。
被害を受けた企業はユーザーや顧客、取引先企業に状況を知らせるために声明文を公開するが、該当するサービスを利用しているユーザーは声明文の内容をもっと真剣に検討する必要があるかもしれない。
LastPassは2022年8月、同社の開発環境が不正アクセスを受けたことを報告した。2022年11月には同社が使っているクラウドストレージに異常なアクティブが検出されたことを報告し、2022年12月にはバックアップデータが窃取された可能性を報告した(参考:「パスワード管理サービス「LastPass」に不正アクセス、技術情報が盗まれる」、「LastPass、8月に発生した不正アクセスで攻撃者は4日間活動できたと説明」、「パスワード管理のLastPass、クラウドストレージに異常なアクティビティ」、「パスワード管理サービス「LastPass」のバックアップ環境に不正アクセス」)。
こうしたLastPassのセキュリティインシデントの対応を受け、セキュリティ研究者のWladimir Palant氏はこのほど、「What’s in a PR statement: LastPass breach explained|Almost Secure」において、LastPassが2022年12月22日公開した声明文「Notice of Recent Security Incident - The LastPass Blog」の内容が不誠実な内容だと指摘。同氏は声明文を取り上げ、LastPassの対応の問題点を逐次説明している。
-
What’s in a PR statement: LastPass breach explained|Almost Secure
Wladimir Palant氏の指摘は声明文の発表された時期の不自然さに始まり、声明文の中で故意に発生時期が明記されていない部分があることや、被害を受けた範囲が説明されていないこと、一見すると強力なセキュリティ機能を利用しているように見えるが実際にはそれほど強くなく、しかもユーザーが設定を変えなければ弱い状態のままであることなど、多岐にわたっている。一部の指摘は可能性に言及するものだが、それ以外は事実を指摘している。
セキュリティインシデントが発生したサービスを利用しているユーザーは、ベンダの提供する情報に基づいて行動するしかないが、リスクを低減するために公表されている情報以上のリスクが存在していることを想定して行動しておくことは検討の価値がある。
脆弱性やセキュリティインシデントに関する情報は数も深刻度も高い状況が続いている。こうした状況に疲弊することなく、常に最新のセキュリティ情報を取得し適切に対応していくことが望まれる。
