【目次】
概要
【概要】
| 公開時期 | 内容 |
|---|---|
| 2022/08/25 | ★ LastPassの開発者向けシステムがハッキング(2022/08/11頃) ★開発者のアカウントが1つ乗っ取られた ★ソースコード・技術情報が盗まれる ★ユーザーデータや暗号化済みパスワードへのアクセス履歴は無し ■侵害がないことが確認されたデータ ・ユーザーのマスターパスワード ・ユーザーの環境(vaults)および環境内のデータ ・ユーザーの個人情報 |
| 2022/11/30 | ★外部のクラウドストレージサービス(GoTo)で、異常なアクティビティを検出し公表 |
| 2022/12/01 | ★2022年8月に発生したソースコード流出で得た情報を使って、LastPassのユーザーデータの「特定の要素」にアクセスすることに成功 ★Zero Knowledgeアーキテクチャーによりパスワードは安全に暗号化されたままになっている ★Mandiantに同件の調査を依頼 |
| 2022/12/22 | ★バックアップを保存していたクラウドストレージサービスに第三者による不正アクセスが発生 ★ユーザーの個人情報やパスワードが流出 クレジットカード情報が流出した形跡はない ★マスターパスワードの変更を推奨 ★多要素認証を設定してセキュリティを強化することを推奨 ■侵害された可能性が高いデータ ・基本的な顧客アカウント情報 ・会社名 ・ユーザー名 ・請求先住所 ・電子メールアドレス ・電話番号 ・IPアドレスなど |
※: マスターパスワードについては、もともとLastPassを含む第三者が読み取れる形で保管されていない
【最新情報】
◆パスワード管理サービスLastPassと親会社GoToへの11月のハッキング、GoToのサービスの利用者データも流出 (CIO, 2023/01/27)
米パスワード管理サービスLastPassの親会社である米GoToは1月23日、2022年のサイバー攻撃で両社サービスのデータが流出したインシデントについて新たな情報を明らかにした。サービスの利用者に関する暗号化済みのデータが盗まれていたほか、一部のデータについては対応する暗号鍵も盗まれたとのことで、影響が懸念される
https://project.nikkeibp.co.jp/idg/atcl/19/00002/00428/
⇒ https://incidents.hatenablog.com/entry/2023/01/27/000000_2
記事
【ニュース】
■2021年
◇2021年12月
◆パスワードマネージャー「LastPass」で本人しか知らないマスターパスワードを使って他人がアクセスしようとする事態が複数発生 (Gigazine, 2021/12/29 10:57)
https://gigazine.net/news/20211229-lastpass-master-password-compromised/
■2022年
◇2022年8月
◆LastPass developer systems hacked to steal source code (BleepingComputer, 2022/08/25 16:59)
[LastPassの開発者向けシステムがハッキングされ、ソースコードが盗まれる]
https://www.bleepingcomputer.com/news/security/lastpass-developer-systems-hacked-to-steal-source-code/
⇒ https://incidents.hatenablog.com/entry/2022/08/25/000000_2
◆パスワード管理アプリ「LastPass」のソースコードが盗まれる事態が発生 (Gigazine, 2022/08/26 15:05)
https://gigazine.net/news/20220826-lastpass-stolen-source-code/
⇒ https://incidents.hatenablog.com/entry/2022/08/26/000000
◆パスワード管理ツール「LastPass」がハッキングの被害、ソースコードと独自技術が漏洩 (窓の杜, 2022/08/26 15:16)
パスワードの漏洩はなし
https://forest.watch.impress.co.jp/docs/news/1435104.html
⇒ https://incidents.hatenablog.com/entry/2022/08/26/000000_1
◆パスワード管理サービス「LastPass」に不正アクセス、技術情報が盗まれる (マイナビニュース, 2022/08/27 20:36)
https://news.mynavi.jp/techplus/article/20220827-2436107/
⇒ https://incidents.hatenablog.com/entry/2022/08/27/000000
◇2022年12月
◆パスワード管理アプリ「LastPass」から盗み出したソースコードを使ってハッカーが顧客データにアクセスしたことが判明 (Gigazine, 2022/12/01 13:00)
https://gigazine.net/news/20221201-lastpass-hackers-accessed-customer-data/
⇒ https://incidents.hatenablog.com/entry/2022/12/01/000000_1
◆LastPassにセキュリティ侵害--8月のハッキングが原因 (ZDNet, 2022/12/02 09:38)
https://japan.zdnet.com/article/35196854/
⇒ https://incidents.hatenablog.com/entry/2022/12/02/000000_3
◆パスワード管理のLastPass、2度目のセキュリティインシデントを報告 (ITmedia, 2022/12/05)
https://www.itmedia.co.jp/enterprise/articles/2212/05/news054.html
⇒ https://incidents.hatenablog.com/entry/2022/12/05/000000_3
◆パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明 (Gigazine, 2022/12/23 11:03)
https://gigazine.net/news/20221223-lastpass-password-hacking/
⇒ https://incidents.hatenablog.com/entry/2022/12/23/000000_4
◆パスワード管理サービス「LastPass」のバックアップ環境に不正アクセス (マイナビニュース, 2022/12/23 13:46)
https://news.mynavi.jp/techplus/article/20221223-2544442/
⇒ https://incidents.hatenablog.com/entry/2022/12/23/000000_1
◆データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演 (Gigazine, 2022/12/26)
https://gigazine.net/news/20221226-lastpass-vault-cracking/
⇒ https://incidents.hatenablog.com/entry/2022/12/26/000000
◆パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵 (Gigazine, 2022/12/28 12:40)
https://gigazine.net/news/20221228-lastpass-statement-explain/
⇒ https://incidents.hatenablog.com/entry/2022/12/28/000000
■2023年
◇2023年1月
◆セキュリティ専門家、LastPassユーザーに対し暗号資産を移動するよう警告 (マイナビニュース, 2023/01/21 21:05)
https://news.mynavi.jp/techplus/article/20230121-2569264/
⇒ https://incidents.hatenablog.com/entry/2023/01/21/000000_1
◆パスワード管理サービスLastPassと親会社GoToへの11月のハッキング、GoToのサービスの利用者データも流出 (CIO, 2023/01/27)
米パスワード管理サービスLastPassの親会社である米GoToは1月23日、2022年のサイバー攻撃で両社サービスのデータが流出したインシデントについて新たな情報を明らかにした。サービスの利用者に関する暗号化済みのデータが盗まれていたほか、一部のデータについては対応する暗号鍵も盗まれたとのことで、影響が懸念される
https://project.nikkeibp.co.jp/idg/atcl/19/00002/00428/
⇒ https://incidents.hatenablog.com/entry/2023/01/27/000000_2
◇2023年3月
◆パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因 (Gigazine, 2023/03/01 10:40)
https://gigazine.net/news/20230301-lastpass-incident/
⇒ https://incidents.hatenablog.com/entry/2023/03/01/000000
【ブログ】
■2022年
◇2022年8月
◆LastPass のソースコードが盗まれる – それでもパスワードマネージャーは使用するべき? (Naked Security(Sophos), 2022/08/29)
https://nakedsecurity.sophos.com/ja/2022/08/29/lastpass-source-code-breach-do-we-still-recommend-password-managers/
⇒ https://incidents.hatenablog.com/entry/2022/08/29/000000_2
◇2022年8月
◆Notice of Recent Security Incident (LastPass, 2022/08/25)
[セキュリティインシデントに関するお知らせ]
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
◇2022年11月
◆Our response to a recent security incident (GoTo, 2022/11/30)
[最近のセキュリティインシデントに対する当社の対応]
https://www.goto.com/blog/our-response-to-a-recent-security-incident
◇2022年12月
◆Notice of Recent Security Incident (lastPass, 2022/12/22)
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/
◆What’s in a PR statement: LastPass breach explained (Almost Secure(Planet.info), 2022/12/26)
https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/