LastPassがハッキング被害–ソースコードを含む技術情報が漏えい

今回は「LastPassがハッキング被害–ソースコードを含む技術情報が漏えい」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 パスワード管理サービスの大手企業であるLastPassは米国時間8月25日、同社のシステムがハッキングされたことをブログ上で明らかにした。同社の最高経営責任者(CEO)Karim Toubba氏が具体的に述べたところによると、「権限を有していない何者かが、開発者のアカウントに不正侵入した上で、LastPassの開発環境の一部にアクセスし、ソースコードの一部と、LastPassが所有する技術情報の一部を盗み出した」という。

 LastPassがセキュリティ関連のインシデントに見舞われるのはこれが初めてではない。2021年には、一部のユーザーのマスターパスワードが流出したことを思わせるインシデントが発生した。この時、LastPassは侵害の事実はないと回答したものの、誰かがアカウントにログインを試みているという警告メールを受け取ったユーザーは、この回答に納得していなかった。それでもなお、LastPassはこれはクレデンシャルスタッフィング攻撃が試行された結果でしかないと断言していた。

 また、2020年には大規模なサービス障害が発生しており、ユーザーらは自らのアカウントにログインできない、あるいはパスワードの自動入力が利用できないと声を上げていた。さらに2019年には、セキュリティリサーチャーらが同社のシステムにセキュリティ上の重大な問題を発見してもいる。

 これらの問題は、個別にみればさほど大きな話ではない。開発者のアカウントが1つでもハッキングされるというのは確かに困った話ではあるが、現実にはよくあることだ。

 とは言うものの、2000万人の顧客を有すると称しているパスワードセキュリティ業界の最大手企業が、毎年のように大きなセキュリティ問題に見舞われるというのは懸念を呼ぶところだ。

 Toubba氏が、「今回のインシデントで、顧客データや、暗号化されたパスワード保管領域にアクセスされた痕跡は見つかっていない」と主張している内容自体は正しいのかもしれない。しかし、プロプライエタリーソースコードや、技術的な機密事項が漏えいしたことで、ユーザーのパスワードを漏えいさせるような攻撃が発生する可能性は出てくるだろう。

 今回のインシデントは、オープンソースコードの方がプロプライエタリーコードよりも安全性において勝っているという新たな事例となるだろう。「Bitwarden」のようなオープンソースのパスワード管理プログラムの場合、すべてのコードは独立系の専門家によって精査されている。これにより、セキュリティ上の潜在的な脆弱性が、セキュリティホールになる前に発見されることになる。

 LastPassは今回、「サイバーセキュリティおよびフォレンジックで業界をリードしている企業と契約し」、起こった事象を調査しているという。またセキュリティ対策の強化も実施している。なお同社によると、「不正なアクティビティーを示すさらなる痕跡は見つかっていない」という。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
QuantumScapeが株式を売却し全固体電池の生産資金調達、市場価値を高める
モビリティ
2021-03-25 16:52
ブックオフ、アナログレコード取扱店が1年で9倍に
くらテク
2021-05-15 12:29
「Rust」ベースのランサムウェア「BlackCat」、60以上の組織に被害–FBIが注意喚起
IT関連
2022-04-28 19:37
マクニカとメンロ、検知回避型脅威に対応するウェブセキュリティの新機能
IT関連
2023-06-30 08:12
アップルが「Find My(探す)」対応アクセサリのテスト用アプリを公開、互換性のある他社製アクセサリーも対応
ソフトウェア
2021-04-08 13:51
TマネーがApple Payに対応 決済時にTポイントがたまる
企業・業界動向
2021-04-22 05:19
ジョニ・ミッチェルもニール・ヤングに続き、新型コロナワクチン誤報問題でSpotifyから楽曲を削除
IT関連
2022-01-31 13:27
ブラジルのフードデリバリーiFoodが2025年までにカーボンニュートラルを目指す取り組みを発表
シェアリングエコノミー
2021-03-30 18:05
クリッカーマルウェアが潜む16のアプリ、「Google Play」ストアから削除
IT関連
2022-10-25 11:21
専門商社の蝶理、化学物質管理ソリューションを採用–法規制への迅速な順守図る
IT関連
2023-05-25 18:12
OpenAI、「Microsoft Azure AI platform」の拡張にOCIを採用
IT関連
2024-06-14 19:29
生体認証VS.パスワード–デジタル認証に関する意識調査
IT関連
2023-04-04 16:00
アクセス元の都道府県と市レベルの住所が分かるAPI、Cloudflareがエッジ上のCloudflare Workersで提供へ
Cloudflare
2021-04-15 17:25
2023年、企業はBCP対策として地政学リスクにも目を向けよ
IT関連
2023-01-13 18:46