昨年 8 月に発生した LastPass の開発環境への不正アクセスは 11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事、 Android Police の記事)。

LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワードを入手したのだという。

LastPass はソフトウェアの名称を明らかにしなかったが、Ars Technica が Plex Media Server だという情報を入手。Plex も昨年 8 月にセキュリティ上の問題が確認されてユーザー全員にパスワード変更を要請しているが、それとの関係は不明だった。その後、問題の脆弱性は 2020 年 5 月に修正済みの CVE-2020-5741 であることが判明する。Plex は PCMag に対し、脆弱性はおよそ 75 バージョンも前に修正されていたが、LastPass の従業員がソフトウェアを更新することはなかったなどと語ったとのことだ。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | バグ |

関連ストーリー：
1Password 曰く、LastPass のパスワード保管庫をクラックするのに百万年もかからない 2023年01月03日
LastPass への不正アクセス、攻撃者はパスワード保管庫のバックアップをコピー可能な状態だった 2022年12月24日
LastPass にまた不正アクセス、今回は顧客情報の一部にもアクセスされた可能性 2022年12月05日
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日
Plex、ユーザー全員にパスワード変更を要請 2022年08月27日

JAXA は 4 日、H3 ロケット試験機 1 号機の打ち上げスケジュールを 7 日に再設定したと発表した (プレスリリース)。

2 月 17 日に予定されていた打ち上げはロケットの自動カウントダウンシーケンス中に異常が検知されて中止となった。JAXA は 3 日、「機体と地上設備の電気的離脱時に発生する通信・電源ラインの過渡的な電位変動の影響により1段機体制御コントローラが誤動作したものと考えられる」との調査結果を発表し、必要な対策処置を完了する見通しが得られたとして打ち上げスケジュールを 6 日に再設定していたが、当日の気象条件が整わないことが予想されるため 7 日に再設定したとのこと。

現時点での打ち上げ時間帯は日本時間 3 月 7 日 10 時 37 分 55 秒 ～ 10 時 44 分 15 秒、3 月 8 日 ～ 10 日に予備期間が設定されている。7 日の打ち上げ可否については今後の気候状況を踏まえて再度判断するとのこと。

これについて あるAnonymous Coward 曰く、

電気的離脱 (電源ラインの遮断？) 時に発生した過渡的な電位変動により半導体スイッチが誤作動したということで、電位変動が小さくなるように電気的離脱のタイミングを 10 ms 単位でずらすよう対策したとのこと (記者説明会動画)。

すべて読む | サイエンスセクション | JAXA | サイエンス | 宇宙 |

関連ストーリー：
H3ロケットの打ち上げ中止、電源供給系統のトラブルと判明 2023年02月27日
H3 ロケット試験機 1 号機、異常を検知して打ち上げ中止 2023年02月18日