パスワード管理サービス大手の米LastPass(ラストパス)は、第三者の取引先を経由した攻撃により顧客情報が流出したことを確認した。攻撃者は同社が利用する市場分析プラットフォーム「Klue(クルー)」に侵入し、OAuth(オーオース)トークンと呼ばれる認証情報を盗み出して、LastPassの顧客データにアクセスしていた。自社製品の弱点ではなく、取引先の穴を突かれた典型的な「サプライチェーン攻撃」となる。
取引先の連携トークンを悪用
LastPassがこの問題を把握したのは6月12日。Klueは同社の営業部門が使う第三者プラットフォームで、顧客管理システムのSalesforceやGongと連携していた。攻撃者はKlueの基盤を侵害したうえで、各種サービスを連携させるためのOAuthトークン(パスワードを直接渡さずにアクセス権を委任する仕組み)を悪用し、LastPassのSalesforce環境にある顧客サポート情報へ入り込んだ。
流出したとみられるのは、氏名、電話番号、メールアドレス、住所、そして顧客サポートでのやり取りの内容だ。一方でLastPassは、自社の製品やサービス、基盤システムは影響を受けておらず、利用者がパスワードを保管する「ボールト(金庫)」は安全に保たれていると強調している。
被害は複数の組織に波及
今回の攻撃は「Icarus(イカロス)」を名乗る恐喝グループによる犯行とされる。Klueの古い連携用認証情報が悪用されたとみられ、被害はLastPassだけにとどまらない。Recorded Future、Tanium、Jamf、Sprout Social、Gong、Insurityなど複数の組織が影響を受けたと報じられている。LastPassはKlueへの社員アクセスを遮断し、流出したトークンを再設定したうえで、法執行機関に通報して調査を進めている。
日本への影響
今回の一件は、日本の企業にとっても他人事ではありません。LastPassは国内の中小企業や個人にも利用されており、SalesforceやGongといった業務ツールを多数のサービスと連携させる運用は、日本でも急速に広がっています。連携が便利になるほど、一つの取引先の侵害が芋づる式に多くの企業へ波及する「サプライチェーン攻撃」の危険が高まる構図は共通しています。
直接の流出対象がパスワードそのものではなくとも、氏名やメールアドレス、サポート履歴が漏れれば、その情報を使った巧妙な「なりすましメール(フィッシング)」の踏み台にされる恐れがあります。日本の企業や個人としては、連携アプリのアクセス権限を定期的に見直し、不要なトークンを失効させること、そして多要素認証を有効にしておくことが当面の備えとして求められます。JPCERTコーディネーションセンターも、外部サービス連携に伴うリスク管理の重要性を継続的に呼びかけています。
まとめ:守りを固めた大手でも取引先の穴から情報は漏れる時代だからこそ、日本の私たちも連携アプリの権限管理を今日から点検しておきたいところではないでしょうか。
出典:
BleepingComputer – LastPass confirms data breach in Klue supply chain attack
Help Net Security – LastPass customer data exposed
SecurityWeek – BeyondTrust, LastPass impacted by Klue-Salesforce incident
Photo: Zoshua Colah / Unsplash
