ハクソク

世界を動かす技術を、日本語で。

LastPassがユーザーに再度のデータ侵害を通知

2026年6月25日原文(9to5mac.com)

概要

  • LastPass 利用者の個人情報が外部パートナー経由で流出
  • パスワード保管庫 自体には影響なし
  • 流出したのは CRMデータやサポート情報
  • フィッシング詐欺などへの 警戒喚起
  • 関連する 攻撃者IPアドレス・ドメイン を公開

LastPass外部パートナー経由の情報流出について

  • LastPass 利用者に対し、外部パートナーである Klue 社の情報流出の警告通知
  • 流出した情報は 顧客名、電話番号、メールアドレス、住所、サポートケース情報、営業関連データ
  • パスワード保管庫 や暗号化されたデータには影響なし
  • Klue のプラットフォームは SalesforceGong と連携
  • 事件発覚後、 Klueへの社員アクセス遮断APIトークンの再発行法執行機関への通報詳細調査の開始
  • 顧客に対し、 フィッシング詐欺やソーシャルエンジニアリング への警戒を呼びかけ
  • 攻撃に関連する IPアドレス送信ドメイン を公開
    • IPアドレス:
      • 138.226.246[.]94
      • 94.154.32[.]160
      • 159.183.215[.]61
      • 159.183.181[.]239
    • 送信ドメイン:
      • baccarat.com[.]au
      • robinskitchen.com[.]au
      • house.com[.]au

LastPassにおける過去のセキュリティインシデント

  • 2015年: ハッカーがアカウントのメールアドレス、パスワードリマインダー、認証ハッシュ、暗号化ソルトを取得
    • パスワード保管庫の暗号化データ 自体は流出せず
  • 2022年: 開発者アカウントの侵害により ソースコード・技術情報 が流出
    • その後、 クラウドバックアップ から顧客記録や暗号化されたパスワード保管庫、平文の個人情報(名前、請求先住所、メールアドレス、電話番号)が盗まれる

顧客への推奨アクション

  • 不審なメールや電話への注意喚起
  • 公開された IPアドレスやドメイン を自社システムで監視
  • パスワード管理や認証情報の再確認

関連リンク・参考情報

  • さらなる詳細や LastPass公式ブログ での発表を確認推奨
  • Amazon での関連書籍・ガジェット紹介(例: “Steve Jobs in Exile”, “Apple: The First 50 Years”, MacBook Neo, Logitech MX Master 4, AirPods Pro 3, AirTag, Apple Watch Series 11, Wireless CarPlay adapter)

注意: 本記事はセキュリティ意識向上のための情報提供を目的とするもの

Hackerたちの意見

みんな、今でもLastPassを真剣に信頼してるの?数年前、銀行データを扱う会社で働いてたんだけど、LPのセキュリティ事件の後すぐにLPを使い始めて、移行する予定もなかったんだよね。

多くの人や組織は、セキュリティのためにセキュリティ製品を使ってるわけじゃないんだよね。セキュリティシアターのために使ってる。大多数の人、特にセキュリティ関係の人たちも、この侵害については知らないだろうから、LastPassは彼らにとってはまだまだ使えるんだよ。

リスクは何で、代替に移行することで変わるの?企業は漏洩した秘密を扱うことが多い。すでにパスワードマネージャーを使っている会社は、ゲームにおいて一歩先を行ってる。もし競合に移ったら、それは移行とトレーニングが必要になる。何を得られるの?また別の会社も脆弱性を持つかもしれないし、自社でホスティングすることになったら、その資金も必要だし、やっぱり脆弱性が出る可能性もある。結局、企業にとってはそれほど大きな問題じゃないと思うし、他にやるべきことと天秤にかけなきゃいけないよね。

私が驚くのはOktaだね。MacのUXは素晴らしいけど、こんなに事件が多いのにどうやって信頼できるの?明らかに、こういうのは実績に基づいて買われてるわけじゃないよね。

彼らは以前のLPのセキュリティインシデントの直後にLPを使ってたんだよね。「うん、でもそれは修正されたよ!」一般の人たちは過去の違反や脆弱性のリストなんて見ないんだ。見出しだけを読むんだよ。

何百社もの企業でセキュリティコンサルティングの仕事をしてきたけど、実際にセキュリティを真剣に考えている企業は過去に侵害されたことがあるところが多いね。経営陣や取締役が自分たちでその影響を実感しない限り、セキュリティプログラムには必要な資金が回ってこない。だからといってLastPassを推奨するわけじゃないけど、その理由だけで彼らを切り捨てるのはもったいないと思う。

なんで誰もが自分のパスワードや暗号鍵を第三者に預けられるのか、全く理解できない。KeePassXCの設定なんて簡単なのに。

まだWindowsを使ってる人がいるんだね。

10年前に、いわゆるリーダーたちにLastPassからデータが漏れるって言ったのを覚えてる。彼らは「安全だ、安全だ」って言ってたけど、幸運なことにもうほとんどの人はそこでは働いてない。

2018年か2019年に、彼らのセールスマンがしつこくて困ったことがあった。多くの侵害があった時期で、「これが理由だよ」って言ったんだ。

これがLastPassを使うよりも悪いかもしれないけど、ここ数年は90%のパスワードを生成して忘れちゃってる。残りの10%はパスワードマネージャーに入れてるけど、サービスがそれほど重要じゃなければ、ログインするたびに「パスワードを忘れた」を使って新しいパスワードを生成してるよ。

これは、アカウントに2FAがない場合に限って機能するよ。私の最後のサイドプロジェクトのアプリでは、ユーザーはメールのOTPでしかログインできない。これにはセキュリティ上の欠点があって、誰かがフィッシングリンクを送ってきて、偽サイトに送信されたOTPを使うことができるけど、アプリは敏感な情報を保存してないから(進捗を追跡するゲームだから)、大きなセキュリティリスクではないと思う。

Hacker Newsで議論の続きを見る