パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明

パスワード管理アプリ「LastPass」では、2022年8月の不正アクセスによってソースコードが盗まれて以降、ハッカーによる顧客データへの不正アクセスが発生しています。LastPassは2022年12月22日に不正アクセスによってユーザーの個人情報やパスワードなどのデータが漏えいしたことを発表しています。

Notice of Recent Security Incident - The LastPass Blog
https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/

LastPass says hackers stole customers’ password vaults | TechCrunch
https://techcrunch.com/2022/12/22/lastpass-customer-password-vaults-stolen/

LastPass users: Your info and password vault data are now in hackers’ hands | Ars Technica
https://arstechnica.com/information-technology/2022/12/lastpass-says-hackers-have-obtained-vault-data-and-a-wealth-of-customer-info/

2022年8月、LastPassはハッカーによってソースコードの一部や技術情報の一部が流出したことを明らかにしました。

パスワード管理アプリ「LastPass」のソースコードが盗まれる事態が発生 - GIGAZINE

2022年12月上旬には8月に流出したソースコードを使用することで、何者かがLastPassのユーザーデータに不正アクセスしたことが判明しています。

パスワード管理アプリ「LastPass」から盗み出したソースコードを使ってハッカーが顧客データにアクセスしたことが判明 - GIGAZINE

LastPassは8月や12月上旬の不正アクセス当時には、「LastPassのZero Knowledgeアーキテクチャによりユーザーの暗号化されたパスワードや個人情報、その他のデータは影響を受けていません」と述べていましたが、2022年12月22日の公式発表では、一転してハッカーによってユーザーの個人情報やパスワードが流出したことを認めています。

一方でLastPassではユーザーのクレジットカード番号はクラウド上に保存されないため、クレジットカード情報が流出した形跡は確認できなかったとのこと。

LastPassはユーザーに対してマスターパスワードの変更を推奨しています。また、マスターパスワードが推測されやすい脆弱(ぜいじゃく)なパスワードの場合やパスワードを使い回している場合は、マスターパスワードに紐付けされている銀行口座やSNSアカウントなどのパスワードの変更を行うよう推奨しています。

また、「多要素認証はハッカーが不正にアクセスすることを困難にする手段です」と述べ、メールのアカウントや電話会社のアカウントなどの重要なアカウントには多要素認証を設定してセキュリティを強化することを勧めています。