パスワード管理サービスの大手企業であるLastPassは米国時間8月25日、同社のシステムがハッキングされたことをブログ上で明らかにした。同社の最高経営責任者(CEO)Karim Toubba氏が具体的に述べたところによると、「権限を有していない何者かが、開発者のアカウントに不正侵入した上で、LastPassの開発環境の一部にアクセスし、ソースコードの一部と、LastPassが所有する技術情報の一部を盗み出した」という。
LastPassがセキュリティ関連のインシデントに見舞われるのはこれが初めてではない。2021年には、一部のユーザーのマスターパスワードが流出したことを思わせるインシデントが発生した。この時、LastPassは侵害の事実はないと回答したものの、誰かがアカウントにログインを試みているという警告メールを受け取ったユーザーは、この回答に納得していなかった。それでもなお、LastPassはこれはクレデンシャルスタッフィング攻撃が試行された結果でしかないと断言していた。
また、2020年には大規模なサービス障害が発生しており、ユーザーらは自らのアカウントにログインできない、あるいはパスワードの自動入力が利用できないと声を上げていた。さらに2019年には、セキュリティリサーチャーらが同社のシステムにセキュリティ上の重大な問題を発見してもいる。
これらの問題は、個別にみればさほど大きな話ではない。開発者のアカウントが1つでもハッキングされるというのは確かに困った話ではあるが、現実にはよくあることだ。
とは言うものの、2000万人の顧客を有すると称しているパスワードセキュリティ業界の最大手企業が、毎年のように大きなセキュリティ問題に見舞われるというのは懸念を呼ぶところだ。
Toubba氏が、「今回のインシデントで、顧客データや、暗号化されたパスワード保管領域にアクセスされた痕跡は見つかっていない」と主張している内容自体は正しいのかもしれない。しかし、プロプライエタリーソースコードや、技術的な機密事項が漏えいしたことで、ユーザーのパスワードを漏えいさせるような攻撃が発生する可能性は出てくるだろう。
今回のインシデントは、オープンソースコードの方がプロプライエタリーコードよりも安全性において勝っているという新たな事例となるだろう。「Bitwarden」のようなオープンソースのパスワード管理プログラムの場合、すべてのコードは独立系の専門家によって精査されている。これにより、セキュリティ上の潜在的な脆弱性が、セキュリティホールになる前に発見されることになる。
LastPassは今回、「サイバーセキュリティおよびフォレンジックで業界をリードしている企業と契約し」、起こった事象を調査しているという。またセキュリティ対策の強化も実施している。なお同社によると、「不正なアクティビティーを示すさらなる痕跡は見つかっていない」という。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
