パスワード管理サービスを手掛けるLastPassの親会社GoToが、2022年11月のセキュリティ侵害の際に顧客の暗号化されたデータが盗まれたことを明らかにした。
提供:Sarah Tew/CNET
11月の侵害は、8月に起きたセキュリティ侵害が直接的な原因となったもので、LastPassと親会社のGoToが共同で利用しているサードパーティーのクラウドストレージサービスに保存されていた顧客の情報に、「権限を有していない何者か」がアクセスした。このときに盗まれた情報が11月のセキュリティ侵害に利用され、氏名、電子メールアドレス、請求先住所、電話番号、IPアドレスなどの暗号化されていない顧客情報を収集するため、再度侵入を受けた。GoToによると、暗号化されていないクレジットカードデータへのアクセスはなかったという。
GoToは今回、同社のほかのエンタープライズ製品の一部にこのハッキングの影響があり、「Central」「Pro」「join.me」「Hamachi」「RemotelyAnywhere」の暗号化された顧客バックアップ(緊急データ復元のためのコピー)が窃取されたとしている。また、一部の顧客について、データ保護に使われている暗号化キーが盗まれた形跡があることも明らかにした。
GoToの最高経営責任者(CEO)Paddy Srinivasan氏は、米国時間1月23日付のブログ記事で次のように述べている。「影響を受けた情報は、製品により異なるが、アカウントのユーザー名、ソルト化およびハッシュ化されたパスワード、多要素認証(MFA)設定の一部のほか、一部の製品設定とライセンス情報などだ。また、『Rescue』と『GoToMyPC』については、暗号化されたデータベースからの流出はなかったが、顧客のごく一部のMFA設定に影響があった」
ほかのGoTo製品には今回の窃盗の影響を受けた証拠はないという。同社は、影響を受けた顧客の人数は示さず、影響を受けた顧客には連絡していると説明した。
LastPassは、パスワードを安全に生成してデバイス間で共有できるように保存したり、デジタル記録を保存したり、それらを信頼できる相手と共有したりできる。しかし2022年12月22日、LastPassのCEOであるKarim Toubba氏は、同社が8月に初めて開示したセキュリティインシデントによって、権限のない第三者が顧客のアカウント情報と資格情報データを盗む可能性があることを認めた。
GoToに詳しい情報を求めたが、すぐには回答を得られていない。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
