パスワードを忘れた? アカウント作成
16519538 story
スラッシュバック

LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 14

ストーリー by headless
更新 部門より
昨年 8 月に発生した LastPass の開発環境への不正アクセス11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事Android Police の記事)。

LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワードを入手したのだという。

LastPass はソフトウェアの名称を明らかにしなかったが、Ars Technica が Plex Media Server だという情報を入手。Plex も昨年 8 月にセキュリティ上の問題が確認されてユーザー全員にパスワード変更を要請しているが、それとの関係は不明だった。その後、問題の脆弱性は 2020 年 5 月に修正済みCVE-2020-5741 であることが判明する。Plex は PCMag に対し、脆弱性はおよそ 75 バージョンも前に修正されていたが、LastPass の従業員がソフトウェアを更新することはなかったなどと語ったとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2023年03月05日 18時00分 (#4421710)

    こういう仕事を自宅PCで行う是非は。例えば軍事機密に関わる仕事を自宅PCでやる人いる?

    • by Anonymous Coward on 2023年03月06日 0時00分 (#4421795)

      日本じゃそこまで一般的ではないのかもしれないけど、
      海外(どこ?)の企業ではBYODに価値があると支持しているのは多いようです。

      たとえば、LastPassはBYOD、リモートワークのリスク管理方法 [lastpass.com]やリスクを減らす方法 [lastpass.com]として、SSOやIAMを提案しており、こういった技術でリモートワークやBYODでもセキュリティを確保できると主張しています。

      是非で言えば、LastPassは自身の製品・ノウハウを使わなかったことではないでしょうか?

      親コメント
    • by Anonymous Coward

      Forbesの記事に同じような批判が書かれていたが、業界の人にとってはそもそも自宅PCでやるのがオカシイってのが共通感覚なんでしょうね。LastPassを避けてBitwardenを数年使っているが、一連のLastpassの発表と批評は私のような外部の人間からしたら、言われてみればそうなんだろうなと一端が覗けて興味深い
      https://www.forbes.com/sites/daveywinder/2023/03/03/why-you-should-sto... [forbes.com]

    • by Anonymous Coward

      こういう仕事を自宅PCで行う是非は。

      制御された支給PCではなく従業員の私物でやらせている時点でなんとも
      支給PC、光熱費補助はリモートの必須条件として法制化すべきだよねぇ

      /*
      通信費は従量制か否かによる
      光熱費はPC稼働だけじゃなく仕事ができる環境の時間分かな
      */

      • by Anonymous Coward

        やらせてるんじゃなくて従業員が無断でやってるんだと思うよ。普通の管理者なら現実性はさておきやるなと言う。
        作業用PCを工面できない会社なんてまずない。

        • by Anonymous Coward

          その「普通の管理者」ってのが所詮は日本の管理者の常識ってオチの可能性も…
          非生産的なまでな変態的IT資産管理にここまで熱心なのも日本独自の文化だし。

          • by Anonymous Coward on 2023年03月06日 13時15分 (#4421958)

            そんなわけなかろう。IT資産管理ソフト系でセーフ判定受けてる中で一番強力なソフトは台湾製(IP-Guard)。

            親コメント
    • by Anonymous Coward

      DevOpsとはこういう仕事が自宅でできることを言う!
      のか?

    • by Anonymous Coward

      最近はゼロトラストが流行りなんで、自宅PCとか会社PCの垣根が低くなってるかと。
      ゼロトラストと言わないまでも、VDIなんかのソリューションを使ってどんな端末からでもセキュアに接続したりとかもありますし。
      会社PCでも結局アップデートされてなければ同じですしね。

      それはそうとして、LastPassではキートークンとか使ってないんだなってのはね……。

  • by Anonymous Coward on 2023年03月06日 9時46分 (#4421866)

    どこからでもパスワード管理できるパスワード管理サービス LastPass
    https://it-trend.jp/single_sign_on/12014 [it-trend.jp]
    「LastPass」は、ブラウザの拡張機能またはモバイルアプリで利用できるパスワード管理サービスです。管理するパスワードは「マスターパスワード」を設定して強固に保護、ローカル通信において暗号化し、使用するOSが同じデバイスであればパスワードを同期させることもできます。

    管理しているパスワードを分析・レポート化し、漏えいしてしまったパスワードや破られるリスクの高いパスワード、使い回しているパスワードや長期間使用していないパスワードの4つのセクションに分類し、変更するべきと判断されたパスワードを表示する機能を活用することで第三者に大切なパスワードが漏えいしてしまうリスクを大幅に軽減可能です。

    さまざまなサービス・ツールにおいてパスワードを設定していると、どうしても複数のパスワードを管理しきれなかったり、使いまわしているパスワードが看破されることで個人情報が漏えいしてしまうリスクは避けられません。このサービスを利用することでパスワード管理を簡略化すると同時に堅牢化することにつながり、安心してパスワードの必要なツール・サービスを利用することができます。

    CVE-ID:CVE-2020-5741
    https://cve-mitre-org.translate.goog/cgi-bin/cvename.cgi?name=CVE-2020... [translate.goog]
    説明
    Windows 上の Plex Media Server で信頼されていないデータを逆シリアル化すると、認証されたリモートの攻撃者が任意の Python コードを実行できるようになります。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...