連邦当局、2022年のLastPassハッキングとサイバー強奪の関連を確認

 (krebsonsecurity.com)
1 ポイント 投稿者 GN⁺ 2025-03-09 | 1件のコメント | WhatsAppで共有

  • 2023年9月、LastPassハッキング事件

    • KrebsOnSecurityは2023年9月、LastPassのマスターパスワードが盗まれ、複数の被害者に対して数十万ドル規模のサイバー窃盗が発生したと報じた。
    • 米連邦捜査当局は、2024年1月30日に発生した1億5,000万ドル規模の暗号資産窃盗事件を捜査する中で、同じ結論に達した。

  • 暗号資産窃盗事件

    • 2024年3月6日、カリフォルニア北部の連邦検察は、1億5,000万ドル規模のサイバー窃盗事件の後、約2,400万ドル相当の暗号資産を回収したと発表した。
    • この事件の被害者は、Rippleの共同創業者であるChris Larsenとみられている。

  • 連邦捜査当局の調査結果

    • 米シークレットサービスとFBIは、LastPassハッキング事件に関連する窃盗事件について同じ結論を下した。
    • 盗まれたデータとパスワードが、被害者のオンラインパスワード管理アカウントへ不正アクセスするために使われ、暗号資産やその他のデータを奪うのに利用されたことを確認した。

  • 共通する被害者の特徴

    • セキュリティ研究者のNick BaxとTaylor Monahanは、被害者がメール、モバイルアカウント、SIMスワップ攻撃のような典型的な攻撃を受けていなかったことを発見した。
    • 被害者は全員、LastPassアカウントの"Secure Notes"に暗号資産のシードフレーズを保存していた。

  • 複雑な窃盗パターン

    • 盗まれた資金は、さまざまな暗号資産取引所の複数アカウントへ素早く移動された。
    • 政府は、この複雑な窃盗パターンは複数の悪意ある行為者の協力によって実行されたと判断している。

  • LastPassの反応

    • LastPassは、連邦捜査当局やその他の情報源から、この窃盗事件がLastPassハッキングと関連していることを示す決定的な証拠は確認していないと主張している。
    • 2022年8月、LastPassはソフトウェア開発環境で異常な活動を検知し、一部のソースコードと技術情報が盗まれたと発表した。
    • 2022年11月、LastPassは暗号化されたパスワード保管庫と個人情報が侵害されたと顧客に通知した。

  • セキュリティ専門家の見解

    • 多くの被害者は複雑さの低いマスターパスワードを使用しており、これはLastPassの古い顧客である可能性が高い。
    • LastPassは新規ユーザーにはより複雑なパスワードを求めていたが、既存の古い顧客にはそれを適用できていなかったようだ。

  • セキュリティ強化の必要性

    • 研究者らは、LastPassが顧客にパスワード変更を推奨すべきだったと主張している。
    • LastPassの否定的な反応にもかかわらず、セキュリティ研究者らはさらなるハッキングを防ぐため追加措置が必要だと強調している.

関連記事

1件のコメント

 
GN⁺ 2025-03-09
Hacker Newsのコメント
  • 1Passwordは、すべての保管庫を高度なシークレットキーで暗号化するという選択について、十分な評価を受けていない。これはユーザー体験やサポート負担の面でコストがかかるが、そのおかげでデータ漏えいが起きても大きな問題になりにくい
  • LastPassはデータ漏えいを過小評価し、ノートセクションのようなデータを適切に暗号化していなかった。責任を回避したが、訴えられるべきだった
  • LastPassは、ユーザーのマスターパスワードが十分に安全でないことを知りながら、積極的に対処しなかった。これは許しがたい
  • LastPassを使っている人は、1Password、Bitwarden、Keepassのような、より信頼できる選択肢へ移行し、重要なパスワードをすべて変更すべきだ
  • LastPassのハッキングがどうやってパスワード流出につながったのか混乱している。1Passwordと同じような仕組みだと思っていたが、そうなら依然として非常に難しいか不可能であるはずだ。パスワードマネージャー、あるいはLastPassがどう違うのか説明できる人はいる?
  • 1Passwordでは、復号鍵が2つの部分に分かれている。ユーザーの単一のパスワード + シークレットキーだ。両方が必要になる。シークレットキーはランダム生成され、128ビット程度ある。1Passwordが生成してユーザーに渡すが、その後は二度と見ることがない。保管庫が盗まれても、パスワードと128ビットのシークレットキーの両方を解読しなければならないため、少なくとも128ビットの安全性が保証される
  • LastPassは何が違うのか? シークレットキーも盗まれたのか? 盗まれた保管庫の対象が追加攻撃を受けてシークレットキーが抽出されたのか? LastPassは1Passwordに似た構造を使っていないのか? それとも1Passwordを使っていても安全ではないと考えるべきなのか?
  • 2013年の2回目の大きなセキュリティ侵害以降、LastPassは使っていない。Wikipediaには合計3件の事件しか載っていないが、2010年から今日まで少なくとも5件の報告を見たことがある。その間も会社でLastPassを使い続けるのを何度も見て、そのたびに驚いた
  • LastPassは、2つの事件を結びつける証拠はないと主張している。しかし、何百万ドルもの「収集品」を保管している人たちが、少なくとも毎年パスワードを変更していないとは信じがたい
  • パスワードの定期変更はもはや最善の実践とはされていないが、このケースでは依然として慎重な選択だ
  • ローカルのKeepassXCを見て、落ち着きを保つ
  • パスワードをクラウドに保存しろと言われたが、何の問題も起きないと言われていた
  • みんなの認証情報を中央集約するのは、やはり最も危険なアイデアだ。ハッカーにとってもっと魅力的なものは無料のパフォーマンス向上薬かもしれないが、それもほんのしばらくで、また全員の認証情報を盗みに来るだろう
  • 別の標的: すべての人の個人識別情報、友人、家族、ペットに関する情報、秘密の質問の答え、モバイルID、PIN番号、口座番号、署名、写真、指紋、音声パターン、顔と網膜のスキャン、歩き方、DNA、ミトコンドリアRNA
  • LastPassが最初に登場したとき、みんなが脆弱で信頼できないと思っていたのを覚えている。Pepperidge Farmも覚えている
  • セキュリティに敏感な人たちは、パスワードをどうしているのだろう? すべてに同じパスワードを使うか、パスワードマネージャーを使うしかないように思える。でも、すべてのパスワードが1か所に集まると、1つだけでなく全部が侵害されるのではないかといつも心配になる
  • 多くのソリューションは、利便性とのトレードオフがあるように感じる。執務室にパスワードだらけの物理バインダーを保管することもできるが、毎回探して入力するのは面倒だし、物理的にアクセスできる人に対して大きなリスクになる