LastPassがハッキング被害–ソースコードを含む技術情報が漏えい

今回は「LastPassがハッキング被害–ソースコードを含む技術情報が漏えい」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 パスワード管理サービスの大手企業であるLastPassは米国時間8月25日、同社のシステムがハッキングされたことをブログ上で明らかにした。同社の最高経営責任者(CEO)Karim Toubba氏が具体的に述べたところによると、「権限を有していない何者かが、開発者のアカウントに不正侵入した上で、LastPassの開発環境の一部にアクセスし、ソースコードの一部と、LastPassが所有する技術情報の一部を盗み出した」という。

 LastPassがセキュリティ関連のインシデントに見舞われるのはこれが初めてではない。2021年には、一部のユーザーのマスターパスワードが流出したことを思わせるインシデントが発生した。この時、LastPassは侵害の事実はないと回答したものの、誰かがアカウントにログインを試みているという警告メールを受け取ったユーザーは、この回答に納得していなかった。それでもなお、LastPassはこれはクレデンシャルスタッフィング攻撃が試行された結果でしかないと断言していた。

 また、2020年には大規模なサービス障害が発生しており、ユーザーらは自らのアカウントにログインできない、あるいはパスワードの自動入力が利用できないと声を上げていた。さらに2019年には、セキュリティリサーチャーらが同社のシステムにセキュリティ上の重大な問題を発見してもいる。

 これらの問題は、個別にみればさほど大きな話ではない。開発者のアカウントが1つでもハッキングされるというのは確かに困った話ではあるが、現実にはよくあることだ。

 とは言うものの、2000万人の顧客を有すると称しているパスワードセキュリティ業界の最大手企業が、毎年のように大きなセキュリティ問題に見舞われるというのは懸念を呼ぶところだ。

 Toubba氏が、「今回のインシデントで、顧客データや、暗号化されたパスワード保管領域にアクセスされた痕跡は見つかっていない」と主張している内容自体は正しいのかもしれない。しかし、プロプライエタリーソースコードや、技術的な機密事項が漏えいしたことで、ユーザーのパスワードを漏えいさせるような攻撃が発生する可能性は出てくるだろう。

 今回のインシデントは、オープンソースコードの方がプロプライエタリーコードよりも安全性において勝っているという新たな事例となるだろう。「Bitwarden」のようなオープンソースのパスワード管理プログラムの場合、すべてのコードは独立系の専門家によって精査されている。これにより、セキュリティ上の潜在的な脆弱性が、セキュリティホールになる前に発見されることになる。

 LastPassは今回、「サイバーセキュリティおよびフォレンジックで業界をリードしている企業と契約し」、起こった事象を調査しているという。またセキュリティ対策の強化も実施している。なお同社によると、「不正なアクティビティーを示すさらなる痕跡は見つかっていない」という。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
FBIによる「Exchange」のWebシェル削除に賛否–サイバーセキュリティの今後にどう影響するか
IT関連
2021-04-26 14:03
アークサーブ、ランサムウェア対策を施したバックアップストレージを発表
IT関連
2022-05-24 10:35
エンジニアとしての業務経験を「お金で買える」サービスに賛否 公式サイトはメンテナンス状態に
ネットトピック
2021-04-28 15:42
コインチェック、デジタルアイテム「NFT」の取引所を開始 所有権をブロックチェーンで証明、海外では75億円の価値が付く例も
社会とIT
2021-03-19 19:14
「Dart 3」が正式リリース。100%Nullセーフティな言語に、ペイメント、ロケーションなどのAPIも直接呼び出し可能に。Google I/O 2023
Dart
2023-05-12 10:33
新型コロナワクチン接種のデジタル記録開発でテックとヘルスの企業がタッグ
ヘルステック
2021-01-16 05:04
富士通、関節可動域を自動測定する「HOPE ROMREC」発売–病院などのリハビリを支援
IT関連
2021-03-01 08:24
オープンソースのクラウドネイティブなFaaS「OpenFunction」がコンテナに加えてWebAssemblyをサポート。ランタイムにWasmEdgeを統合
Docker
2023-03-28 06:22
ビットコインを法定通貨に採用 エルサルバドル、世界初
IT関連
2021-06-12 15:18
青学初等部が「ぷよぷよ」のプログラミング教材で授業
ネットトピック
2021-07-15 08:16
NetflixがTikTok風おもしろ動画「Fast Laughs」を公開
ネットサービス
2021-03-05 23:17
「Exchange Server」の脆弱性、92%がパッチや緩和策を適用–マイクロソフト
IT関連
2021-03-26 19:44
「Microsoft Teams」のトランシーバー機能、iOS版にもプレビュー提供
IT関連
2021-07-21 08:08
GitLab、AIを活用したDevSecOpsプラットフォーム「GitLab 16」を発表
IT関連
2023-07-11 03:21