LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 14
ストーリー by headless
更新 部門より
更新 部門より
昨年 8 月に発生した LastPass の開発環境への不正アクセスは 11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ
(PCMag の記事、
Android Police の記事)。
LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワードを入手したのだという。
LastPass はソフトウェアの名称を明らかにしなかったが、Ars Technica が Plex Media Server だという情報を入手。Plex も昨年 8 月にセキュリティ上の問題が確認されてユーザー全員にパスワード変更を要請しているが、それとの関係は不明だった。その後、問題の脆弱性は 2020 年 5 月に修正済みの CVE-2020-5741 であることが判明する。Plex は PCMag に対し、脆弱性はおよそ 75 バージョンも前に修正されていたが、LastPass の従業員がソフトウェアを更新することはなかったなどと語ったとのことだ。
LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワードを入手したのだという。
LastPass はソフトウェアの名称を明らかにしなかったが、Ars Technica が Plex Media Server だという情報を入手。Plex も昨年 8 月にセキュリティ上の問題が確認されてユーザー全員にパスワード変更を要請しているが、それとの関係は不明だった。その後、問題の脆弱性は 2020 年 5 月に修正済みの CVE-2020-5741 であることが判明する。Plex は PCMag に対し、脆弱性はおよそ 75 バージョンも前に修正されていたが、LastPass の従業員がソフトウェアを更新することはなかったなどと語ったとのことだ。
自宅PC (スコア:1)
こういう仕事を自宅PCで行う是非は。例えば軍事機密に関わる仕事を自宅PCでやる人いる?
Re:自宅PC (スコア:1)
日本じゃそこまで一般的ではないのかもしれないけど、
海外(どこ?)の企業ではBYODに価値があると支持しているのは多いようです。
たとえば、LastPassはBYOD、リモートワークのリスク管理方法 [lastpass.com]やリスクを減らす方法 [lastpass.com]として、SSOやIAMを提案しており、こういった技術でリモートワークやBYODでもセキュリティを確保できると主張しています。
是非で言えば、LastPassは自身の製品・ノウハウを使わなかったことではないでしょうか?
Re: (スコア:0)
Forbesの記事に同じような批判が書かれていたが、業界の人にとってはそもそも自宅PCでやるのがオカシイってのが共通感覚なんでしょうね。LastPassを避けてBitwardenを数年使っているが、一連のLastpassの発表と批評は私のような外部の人間からしたら、言われてみればそうなんだろうなと一端が覗けて興味深い
https://www.forbes.com/sites/daveywinder/2023/03/03/why-you-should-sto... [forbes.com]
Re: (スコア:0)
こういう仕事を自宅PCで行う是非は。
制御された支給PCではなく従業員の私物でやらせている時点でなんとも
支給PC、光熱費補助はリモートの必須条件として法制化すべきだよねぇ
/*
通信費は従量制か否かによる
光熱費はPC稼働だけじゃなく仕事ができる環境の時間分かな
*/
Re: (スコア:0)
やらせてるんじゃなくて従業員が無断でやってるんだと思うよ。普通の管理者なら現実性はさておきやるなと言う。
作業用PCを工面できない会社なんてまずない。
Re: (スコア:0)
その「普通の管理者」ってのが所詮は日本の管理者の常識ってオチの可能性も…
非生産的なまでな変態的IT資産管理にここまで熱心なのも日本独自の文化だし。
Re:自宅PC (スコア:1)
そんなわけなかろう。IT資産管理ソフト系でセーフ判定受けてる中で一番強力なソフトは台湾製(IP-Guard)。
Re: (スコア:0)
DevOpsとはこういう仕事が自宅でできることを言う!
のか?
Re:自宅PC (スコア:2, おもしろおかしい)
成果物:Oops!
Re: (スコア:0)
最近はゼロトラストが流行りなんで、自宅PCとか会社PCの垣根が低くなってるかと。
ゼロトラストと言わないまでも、VDIなんかのソリューションを使ってどんな端末からでもセキュアに接続したりとかもありますし。
会社PCでも結局アップデートされてなければ同じですしね。
それはそうとして、LastPassではキートークンとか使ってないんだなってのはね……。
解説メモ (スコア:0)
どこからでもパスワード管理できるパスワード管理サービス LastPass
https://it-trend.jp/single_sign_on/12014 [it-trend.jp]
「LastPass」は、ブラウザの拡張機能またはモバイルアプリで利用できるパスワード管理サービスです。管理するパスワードは「マスターパスワード」を設定して強固に保護、ローカル通信において暗号化し、使用するOSが同じデバイスであればパスワードを同期させることもできます。
管理しているパスワードを分析・レポート化し、漏えいしてしまったパスワードや破られるリスクの高いパスワード、使い回しているパスワードや長期間使用していないパスワードの4つのセクションに分類し、変更するべきと判断されたパスワードを表示する機能を活用することで第三者に大切なパスワードが漏えいしてしまうリスクを大幅に軽減可能です。
さまざまなサービス・ツールにおいてパスワードを設定していると、どうしても複数のパスワードを管理しきれなかったり、使いまわしているパスワードが看破されることで個人情報が漏えいしてしまうリスクは避けられません。このサービスを利用することでパスワード管理を簡略化すると同時に堅牢化することにつながり、安心してパスワードの必要なツール・サービスを利用することができます。
CVE-ID:CVE-2020-5741
https://cve-mitre-org.translate.goog/cgi-bin/cvename.cgi?name=CVE-2020... [translate.goog]
説明
Windows 上の Plex Media Server で信頼されていないデータを逆シリアル化すると、認証されたリモートの攻撃者が任意の Python コードを実行できるようになります。
Re:たられば (スコア:1)
対策ってのは「どうしていれば防げていたか、可能性を十分に下げられたか」の考証がなければ始まらない。
何も対策を取らず同じ間違いを繰り返す世界がお望みですか?
Re: (スコア:0)
たらればってのは「事実とは無関係な仮定の話」だぞ
https://dictionary.goo.ne.jp/word/%E3%81%9F%E3%82%89%E3%82%8C%E3%81%B0/ [goo.ne.jp]
ようするに「俺に1億あれば寄付するのにー」とかの現実的に糞の役にも立たない仮定に対して言うのであって、
今回の様に「こうしてれば防げた」は、*れば*とあるだけでたらればとは言わん