LastPassの親会社GoTo、顧客データが窃取されていたことを公表

今回は「LastPassの親会社GoTo、顧客データが窃取されていたことを公表」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　パスワード管理サービスを手掛けるLastPassの親会社GoToが、2022年11月のセキュリティ侵害の際に顧客の暗号化されたデータが盗まれたことを明らかにした。

　11月の侵害は、8月に起きたセキュリティ侵害が直接的な原因となったもので、LastPassと親会社のGoToが共同で利用しているサードパーティーのクラウドストレージサービスに保存されていた顧客の情報に、「権限を有していない何者か」がアクセスした。このときに盗まれた情報が11月のセキュリティ侵害に利用され、氏名、電子メールアドレス、請求先住所、電話番号、IPアドレスなどの暗号化されていない顧客情報を収集するため、再度侵入を受けた。GoToによると、暗号化されていないクレジットカードデータへのアクセスはなかったという。

　GoToは今回、同社のほかのエンタープライズ製品の一部にこのハッキングの影響があり、「Central」「Pro」「join.me」「Hamachi」「RemotelyAnywhere」の暗号化された顧客バックアップ（緊急データ復元のためのコピー）が窃取されたとしている。また、一部の顧客について、データ保護に使われている暗号化キーが盗まれた形跡があることも明らかにした。

　GoToの最高経営責任者（CEO）Paddy Srinivasan氏は、米国時間1月23日付のブログ記事で次のように述べている。「影響を受けた情報は、製品により異なるが、アカウントのユーザー名、ソルト化およびハッシュ化されたパスワード、多要素認証（MFA）設定の一部のほか、一部の製品設定とライセンス情報などだ。また、『Rescue』と『GoToMyPC』については、暗号化されたデータベースからの流出はなかったが、顧客のごく一部のMFA設定に影響があった」

　ほかのGoTo製品には今回の窃盗の影響を受けた証拠はないという。同社は、影響を受けた顧客の人数は示さず、影響を受けた顧客には連絡していると説明した。

　LastPassは、パスワードを安全に生成してデバイス間で共有できるように保存したり、デジタル記録を保存したり、それらを信頼できる相手と共有したりできる。しかし2022年12月22日、LastPassのCEOであるKarim Toubba氏は、同社が8月に初めて開示したセキュリティインシデントによって、権限のない第三者が顧客のアカウント情報と資格情報データを盗む可能性があることを認めた。

　GoToに詳しい情報を求めたが、すぐには回答を得られていない。