2025-12-12
LastPassが2022年のデータ侵害で120万ポンドの罰金を科される
イギリスの情報コミッショナー事務所(ICO)は、LastPassが2022年に発生した二度のデータ侵害により、最大160万人のユーザー情報が漏洩したとして、120万ポンド(約160万ドル)の罰金を科しました。情報コミッショナーのジョン・エドワーズ氏は、パスワード管理サービスを提供する企業は、顧客の個人情報を安全に保護する責任があると述べ、LastPassがその期待に応えられなかったことを指摘しました。最初の侵害は、開発者のMacBookが攻撃され、ソースコードが盗まれるというもので、二度目の侵害では、DevOpsエンジニアの個人PCが攻撃され、顧客の個人データが盗まれました。
メトリクス
このニュースのスケール度合い
6.5
/10
インパクト
7.0
/10
予想外またはユニーク度
7.0
/10
脅威に備える準備が必要な期間が時間的にどれだけ近いか
7.0
/10
このニュースで行動が起きる/起こすべき度合い
6.5
/10
主なポイント
- ✓ LastPassは2022年のデータ侵害により、最大160万人のユーザー情報が漏洩し、120万ポンドの罰金を科されました。
- ✓ ICOは、LastPassが顧客の個人情報を適切に保護するための技術的および組織的措置を講じていなかったと指摘しました。
社会的影響
- ! この事件は、パスワード管理サービスの信頼性に対する懸念を引き起こし、ユーザーの個人情報保護に対する意識を高める結果となりました。
- ! 企業は、顧客データの保護に対する責任を再認識し、セキュリティ対策を強化する必要があります。
編集長の意見
LastPassのデータ侵害事件は、パスワード管理サービスの重要性と、それに伴うセキュリティリスクを浮き彫りにしました。特に、企業が顧客の個人情報を扱う際には、十分な技術的および組織的な対策を講じることが求められます。今回の事件では、攻撃者が開発者の個人デバイスを通じて企業の機密情報にアクセスしたことが問題でした。これは、個人と業務用アカウントをリンクさせることが、セキュリティ上のリスクを高める要因となることを示しています。企業は、個人デバイスの使用に関するポリシーを見直し、業務用アカウントと個人用アカウントを分けることが重要です。また、セキュリティアラートの管理体制を強化し、異常な活動を迅速に検知できる体制を整える必要があります。今後、企業は顧客データの保護に対する責任をより一層重視し、セキュリティ対策を強化することが求められます。これにより、顧客の信頼を回復し、同様の事件を未然に防ぐことができるでしょう。
背景情報
- i 2022年8月、LastPassは二度のデータ侵害を受けました。最初の侵害では、開発者のMacBookが攻撃され、ソースコードが盗まれました。この際、攻撃者はAWSのセキュリティアラートを引き起こし、アクセス管理コマンドを操作しようとしましたが、権限がなかったために発覚しました。
- i 二度目の侵害では、DevOpsエンジニアの個人PCが攻撃され、CVE-2020-5741の脆弱性を利用してリモートアクセスが取得されました。攻撃者は、キーロガーを使用してマスターパスワードを盗み、MFAをバイパスしてLastPassのAWSアクセスキーと復号化キーを取得しました。