LastPassは、今回も第三者サービスプロバイダーが侵害されたことによる新たなデータ侵害を確認した。攻撃者は市場情報プラットフォームKlueから盗んだOAuthトークンを使用し、LastPassのSalesforce環境にアクセスして顧客の連絡先情報を抽出した。
今回の侵害は、このパスワード管理ツールにとって問題続きのセキュリティ史上最新のものであり、2022年には暗号化された金庫が露出する大規模インシデントを経験し、その後規制当局による罰金にも直面している。
何が起きたか
Icarusとして知られる恐喝グループが2026年6月12日ごろにKlueのバックエンドシステムを侵害し、悪意のあるコードアップデートをプッシュしてOAuthトークンを収穫した。攻撃者はこれらのトークンを使用してSalesforce環境にクエリを送信し、LastPassおよび他のKlue顧客に属するCRMデータをコピーした。
LastPassによると、露出したデータには顧客名、電話番号、メールアドレス、住所、サポートケース記録、販売関連情報が含まれる。同社はLastPassの製品、サービス、インフラストラクチャ、および顧客のパスワード保管庫は影響を受けていないと強調した。マスターパスワードと暗号化された金庫の内容は安全を保っている。
Klueは6月12日に不正な活動について顧客に通知した。Salesforceが6月17日にKlue Battlecards統合を無効化した後、LastPassは6月23日に開示を公表し、露出したトークンをローテーションし、従業員のKlueアクセスを停止し、法執行機関に通報した。
注意すべき点
露出した連絡先情報はフィッシングやソーシャルエンジニアリングのリスクを生み出す。攻撃者はCRM記録を利用して、LastPassから送られたように見せかけた説得力のあるメッセージを作成できる。同社はスタッフがマスターパスワードを尋ねることは決してないと強調した。
Klueのインシデントは、増大する脆弱性を浮き彫りにしている。アプリケーション間のシームレスなデータ共有を目的として設計されたOAuthトークンが、それらのトークンを保持する第三者サービスが侵害された場合に攻撃ベクターとなる。セキュリティ研究者は、企業がCRMデータにアクセスできるアプリケーションを確認し、未使用の接続を無効化し、ベンダーインシデント発生後すぐにトークンをローテーションし、APIアクティビティを監視して異常なデータエクスポートを検出することを推奨している。
今週のその他のセキュリティニュース
元米国国家安全保障担当補佐官のジョン・ボルトン氏は6月26日、機密情報の不法保持1件について有罪を認め、18件の起訴を解決した。司法取引に基づき、ボルトン氏は約200万米ドル(約160万英ポンド)の罰金と最大5年の禁錮刑に直面しているが、最終的な判決は裁判官が決定する。この事件は、ボルトン氏がトランプ政権在任中および退任後に、極秘情報を含む手書きのメモを2人の家族に送信したことに端を発している。
Microsoftのデジタル犯罪対策ユニットは、Europolおよび国際パートナーと協力し、進行中のOperation Endgameの一環として、AmadeyおよびStealCインフォスティーラー事業の破壊を発表した。この協調行動により、200以上の悪意のあるコマンド&コントロールドメインとIPが特定され、裁判所命令とドメイン差押えを通じて閉鎖された。5月の2週間の監視期間中に、世界中で14万台以上のコンピュータがこれらのツールに感染していることが判明した。この作戦では2700万件の盗まれたログイン認証情報が回収され、4100万ユーロ(約4700万米ドル)の犯罪暗号資産が凍結された。Microsoftによると、捜査官はCopilotを含むAIツールを使用してマルウェアバイナリを分析し、マルウェア・アズ・ア・サービスとして運営されランサムウェア攻撃へのゲートウェイとなる2つのファミリー間で共有されるインフラストラクチャをマッピングした。
出典: Security News This Week: LastPass Users Had Their Data Stolen – Again (Wired, 2026年6月27日); LastPass Confirms Customer Data Breach After Klue OAuth Token Theft (HackRead, 2026年6月23日); Microsoft, Europol lead global takedown of infostealer malware (Cybersecurity Dive, 2026年6月24日); John Bolton pleads guilty in documents case (USA Today, 2026年6月26日)
雅子 訳