LastPassがハッキング被害--ソースコードを含む技術情報が漏えい

Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部

2022-08-30 12:44

 パスワード管理サービスの大手企業であるLastPassは米国時間8月25日、同社のシステムがハッキングされたことをブログ上で明らかにした。同社の最高経営責任者(CEO)Karim Toubba氏が具体的に述べたところによると、「権限を有していない何者かが、開発者のアカウントに不正侵入した上で、LastPassの開発環境の一部にアクセスし、ソースコードの一部と、LastPassが所有する技術情報の一部を盗み出した」という。

LastPassのロゴ

 LastPassがセキュリティ関連のインシデントに見舞われるのはこれが初めてではない。2021年には、一部のユーザーのマスターパスワードが流出したことを思わせるインシデントが発生した。この時、LastPassは侵害の事実はないと回答したものの、誰かがアカウントにログインを試みているという警告メールを受け取ったユーザーは、この回答に納得していなかった。それでもなお、LastPassはこれはクレデンシャルスタッフィング攻撃が試行された結果でしかないと断言していた。

 また、2020年には大規模なサービス障害が発生しており、ユーザーらは自らのアカウントにログインできない、あるいはパスワードの自動入力が利用できないと声を上げていた。さらに2019年には、セキュリティリサーチャーらが同社のシステムにセキュリティ上の重大な問題を発見してもいる。

 これらの問題は、個別にみればさほど大きな話ではない。開発者のアカウントが1つでもハッキングされるというのは確かに困った話ではあるが、現実にはよくあることだ。

 とは言うものの、2000万人の顧客を有すると称しているパスワードセキュリティ業界の最大手企業が、毎年のように大きなセキュリティ問題に見舞われるというのは懸念を呼ぶところだ。

 Toubba氏が、「今回のインシデントで、顧客データや、暗号化されたパスワード保管領域にアクセスされた痕跡は見つかっていない」と主張している内容自体は正しいのかもしれない。しかし、プロプライエタリーソースコードや、技術的な機密事項が漏えいしたことで、ユーザーのパスワードを漏えいさせるような攻撃が発生する可能性は出てくるだろう。

 今回のインシデントは、オープンソースコードの方がプロプライエタリーコードよりも安全性において勝っているという新たな事例となるだろう。「Bitwarden」のようなオープンソースのパスワード管理プログラムの場合、すべてのコードは独立系の専門家によって精査されている。これにより、セキュリティ上の潜在的な脆弱性が、セキュリティホールになる前に発見されることになる。

 LastPassは今回、「サイバーセキュリティおよびフォレンジックで業界をリードしている企業と契約し」、起こった事象を調査しているという。またセキュリティ対策の強化も実施している。なお同社によると、「不正なアクティビティーを示すさらなる痕跡は見つかっていない」という。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]