パスワード管理ツール「LastPass」開発の親会社であるGoToが、顧客データの暗号化済みバックアップを保存したクラウドストレージへの不正アクセスが2022年11月に発生した件について、この不正アクセスでリモートコンピューター管理ソフトのLogMeIn CentralやLogMeIn Proなどの顧客データの一部がやはり盗み出されていたと発表しました。
Our Response to a Recent Security Incident- GoTo
https://www.goto.com/blog/our-response-to-a-recent-security-incident
GoTo says hackers stole customers’ backups and encryption key
https://www.bleepingcomputer.com/news/security/goto-says-hackers-stole-customers-backups-and-encryption-key/
事の発端は2022年8月に、攻撃者が開発者アカウントを介してLastPassのソースコードと技術情報の一部を不正に入手したことにあります。
パスワード管理アプリ「LastPass」のソースコードが盗まれる事態が発生 – GIGAZINE
そして2022年11月末、この盗み出されたソースコードから得た情報を使って、GoToやLastPassの顧客データの暗号化済みバックアップが保存されたサードパーティ製クラウドストレージに攻撃者が侵入し、顧客データの「特定の要素」へのアクセスに成功したことが判明しました。
パスワード管理アプリ「LastPass」から盗み出したソースコードを使ってハッカーが顧客データにアクセスしたことが判明 – GIGAZINE
クラウドストレージへの侵入が判明した時点では顧客データへの影響はまだわかっておらず、GoToはサイバーセキュリティ企業のMandiantの助けを借りて調査を行っていました。
不正アクセス発覚時、LastPassのカリム・トウッバCEOは「LastPassのパスワードが盗まれた証拠はなく、お客様のパスワードは当社のゼロ知識証明技術によって安全に暗号化されたままになっています」と発表しましたが、2022年12月末には結局LastPassの顧客データへの不正アクセスが発生していたことを明らかにしています。
パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 – GIGAZINE
そしてさらなる調査の結果、LogMeIn CentralやLogMeIn Pro、オンライン会議ソフトのjoin.me、P2P型VPNツールのHamachi、リモート操作ツールのRemotelyAnywhereに関連する顧客データのバックアップも盗み出されていたことがわかりました。製品によって影響は異なりますが、盗み出されたデータの中にはアカウントのユーザー名、ソルト化・ハッシュ化されたパスワード、電子メール・電話番号・請求先の住所・クレジットカード番号の下4桁などの個人情報、多要素認証設定の一部、製品設定とライセンス情報が含まれている場合があるとのこと。
GoToは影響を受けるユーザーに直接連絡を取り、該当するユーザーのパスワードをリセットしたり多要素認証の再承認を行ったりすると述べています。
実際にGoToからユーザーの下に届いたセキュリティインシデント通知が以下。GoToは、攻撃者が本番システムにアクセスしたという証拠はまだないと述べ、TLS 1.2による暗号化とP2P技術が有効であるため、今回の攻撃がクライアントに影響を与える可能性はないと述べています。
GoToのパディ・スリニバサンCEOは事件についてまだ調査中であることを明らかにし、「調査を迅速に完了できるよう引き続き努めてまいりますので、ご理解のほどよろしくお願いいたします」と述べています。
この記事のタイトルとURLをコピーする
