LastPassの親会社GoTo、顧客データが窃取されていたことを公表

Steven Musil (CNET News) 翻訳校正: 緒方亮 吉武稔夫 (ガリレオ)

2023-01-26 13:43

 パスワード管理サービスを手掛けるLastPassの親会社GoToが、2022年11月のセキュリティ侵害の際に顧客の暗号化されたデータが盗まれたことを明らかにした。

LastPassのロゴを表示したスマホ
提供:Sarah Tew/CNET

 11月の侵害は、8月に起きたセキュリティ侵害が直接的な原因となったもので、LastPassと親会社のGoToが共同で利用しているサードパーティーのクラウドストレージサービスに保存されていた顧客の情報に、「権限を有していない何者か」がアクセスした。このときに盗まれた情報が11月のセキュリティ侵害に利用され、氏名、電子メールアドレス、請求先住所、電話番号、IPアドレスなどの暗号化されていない顧客情報を収集するため、再度侵入を受けた。GoToによると、暗号化されていないクレジットカードデータへのアクセスはなかったという。

 GoToは今回、同社のほかのエンタープライズ製品の一部にこのハッキングの影響があり、「Central」「Pro」「join.me」「Hamachi」「RemotelyAnywhere」の暗号化された顧客バックアップ(緊急データ復元のためのコピー)が窃取されたとしている。また、一部の顧客について、データ保護に使われている暗号化キーが盗まれた形跡があることも明らかにした。

 GoToの最高経営責任者(CEO)Paddy Srinivasan氏は、米国時間1月23日付のブログ記事で次のように述べている。「影響を受けた情報は、製品により異なるが、アカウントのユーザー名、ソルト化およびハッシュ化されたパスワード、多要素認証(MFA)設定の一部のほか、一部の製品設定とライセンス情報などだ。また、『Rescue』と『GoToMyPC』については、暗号化されたデータベースからの流出はなかったが、顧客のごく一部のMFA設定に影響があった」

 ほかのGoTo製品には今回の窃盗の影響を受けた証拠はないという。同社は、影響を受けた顧客の人数は示さず、影響を受けた顧客には連絡していると説明した。

 LastPassは、パスワードを安全に生成してデバイス間で共有できるように保存したり、デジタル記録を保存したり、それらを信頼できる相手と共有したりできる。しかし2022年12月22日、LastPassのCEOであるKarim Toubba氏は、同社が8月に初めて開示したセキュリティインシデントによって、権限のない第三者が顧客のアカウント情報と資格情報データを盗む可能性があることを認めた

 GoToに詳しい情報を求めたが、すぐには回答を得られていない。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]