Krebs on Securityはこのほど、「Feds Link $150M Cyberheist to 2022 LastPass Hacks – Krebs on Security」において、パスワード管理サービス「LastPass」のマスターパスワードが解読されサイバー攻撃に悪用された可能性が高いと報じた。

2022年、LastPassは同社への不正アクセスにより複数の機密情報を窃取されている。このとき暗号化されたユーザーデータと平文データの両方も窃取されている。今回、この暗号化されたデータを解読され、昨年1月の事案に悪用されたことが明らかになった(参考:「LastPass、情報漏洩の追加報告 | TECH+(テックプラス)」)。

  • Feds Link $150M Cyberheist to 2022 LastPass Hacks – Krebs on Security

    Feds Link $150M Cyberheist to 2022 LastPass Hacks – Krebs on Security

連邦検察の発表資料にて指摘

北カリフォルニアの連邦検察官は3月6日、2024年1月30日に発生した1億5,000万ドル規模の暗号通貨窃取事案について、凍結されていた2,400万ドルを押収したと発表した。Krebs on Securityによるとこの押収資料には、犯罪者がLastPassのマスターパスワードを解読したことが原因で暗号通貨の窃取に成功したと指摘する次の記述があるという。

「 この調査に基づき、法執行機関は上記の商用オンラインパスワードマネージャー攻撃(LastPass侵害事案)の背後にいる同じ攻撃者が、被害者1のオンラインパスワードマネージャーアカウントに保存されていた盗まれたパスワードを使用し、許可なく彼の暗号通貨ウォレット/アカウントにアクセスしたと信じるに足る十分な根拠がある」

セキュリティ研究者による調査

セキュリティ研究者のNick Bax氏とTaylor Monahan氏は、同様の被害に遭遇した数十人の事案について調査している。研究者によると侵害の兆候(直接のサイバー攻撃)は確認できなかったが、LastPassの「セキュアノート」を利用していた共通点が確認されたという。

また、全員がセキュアノートに暗号通貨のシードフレーズ(別名:リカバリーフレーズ)を保存しており、この解読が暗号通貨の窃取につながった可能性が高いとしている。

LastPassの対応

Krebs on Securityにコメントを求められたLastPassは次のように回答し、暗に事件との関連を否定したとされる。

「2022年にこの事件を初めて公表して以来、LastPassは法執行機関の複数の代表者と緊密に協力してきました。現在まで法執行機関のパートナーは、暗号資産の盗難と当社の事件を結びつける決定的な証拠を我々に通知していません。その一方で、当社はセキュリティ対策の強化に多額の投資を行っており、今後もその努力を継続します」

セキュリティ研究者はLastPassのこの回答について次のように述べ、自己保身に走る姿勢を非難した。

「LastPassが最初に侵害されてから2年半が経過し、世界中の個人や企業から数億ドルが盗まれました。LastPassはユーザーに認証情報のローテーションを促すことができたはずです。脅威アクターによる何百万ドルもの盗難を防ぐことができたはずです。しかし、LastPassは顧客が危険にさらされたことを否定し、代わりに被害者を責めることを選んだのです」

LastPassユーザーは対策を

LastPassを利用しているユーザーは、2023年初旬以前に保存したすべてのパスワード、機密データ(セキュアノート含む)は漏洩したとみなし、すべて適切な手順で更新することが推奨される。

また、今後も同様のデータ侵害が発生する可能性があることから、最新のセキュリティ情報を継続的に収集し、必要に応じて対策を実施することが望まれている。