「パスワードを安全に管理する」はずのサービスが、またしてもユーザーのデータを盗まれた。パスワード管理ツール大手のLastPassが今週、新たなデータ侵害をユーザーに通知している。
今回は提携先のAI企業が狙われた
LastPass自体のシステムが直接破られたわけではない。問題は、LastPassが利用していたAIビジネスインテリジェンス企業「Klue」にあった。攻撃者はまずKlueのアクセストークンを奪取し、そこからLastPassを含む顧客企業のSalesforceやその他の連携プラットフォームに手を伸ばした。
流出したのは、ユーザーの氏名、電話番号、メールアドレス、物理的な住所、サポートへの問い合わせ内容、そして販売関連データだ。パスワード保管庫(Vault)そのものには影響がなかったとLastPassは強調している。
「何度目だ」というユーザーの声
LastPassのデータ漏洩はこれが初めてではない。過去にも複数回にわたって重大な侵害を受けており、ユーザーの間では「またか」という反応が広がっている。
LastPassはユーザーへの通知で、「フィッシング攻撃やソーシャルエンジニアリングの試みに注意してほしい」と呼びかけた。流出した連絡先情報を悪用して、不審なメールや電話が届く可能性があるからだ。「心当たりのない連絡には常に警戒し、メールや電話で機密情報を求められても応じないでほしい」と注意を促している。
「自社インフラの侵害ではない」は安心材料になるか
LastPassは「自社インフラへの侵害ではない」と繰り返しているが、ユーザーから見れば、LastPassに預けた情報が外部に漏れたという事実は変わらない。提携先のセキュリティが甘ければ、いくら自社を固めても意味がないわけで、サプライチェーン全体のリスク管理が問われる事案だ。
パスワード管理サービスは、その性質上、最も高いセキュリティが求められる。鍵を預ける金庫が何度も破られるなら、そもそもその金庫を使い続けるべきなのかという疑問が出てくるのは自然な話である。
