複数のDashlaneユーザーが、遠隔地や未登録デバイスからのログインを試みるブルートフォース攻撃を受け、アカウントからロックアウトされる事態が発生しました。
このパスワード管理サービスはBleepingComputerへの声明の中で、アカウントの停止はアカウント乗っ取りから保護するための自動セキュリティ対応の一環だったと認めました。
「特定のDashlaneユーザーアカウントが外部による者のブルートフォース攻撃の標的となり、Dashlaneの組み込みセキュリティ制御の一環として該当アカウントが停止されたことを確認しています。影響を受けたアカウントはすでに停止解除済みです」と、DashlaneのシニアディレクターであるJordan Fylolenko氏(コーポレートコミュニケーション担当)は述べています。
「チームはこの問題に積極的に取り組んでおり、顧客をさらに保護するための対策を講じています。Dashlaneのシステムが侵害された証拠はありません。」
不安を抱いたDashlaneユーザーたちは本日早い段階でRedditに投稿し、海外の国々からの不審なアクセス要求の通知を受け取ったと報告しました。それらのメールには、正規のアカウント所有者が新しいデバイスを登録するための確認コードが含まれていました。
多くのユーザーは自分でリクエストを開始した覚えがなく、この通知がDashlaneユーザーを狙ったフィッシング詐欺の一環かどうかを確認しようとしていました。
数時間後、Dashlaneはこれらのスレッドに返答し、システムは安全であり、今回の措置はブルートフォース攻撃によって引き起こされたものだと説明しました。ブルートフォース攻撃とは、正しいパスワードが見つかるまで複数のパスワードを次々と試し、アカウントへの不正アクセスを図る手法です。
安全なプラットフォームでは、失敗したログイン試行が一定の閾値に達した後、自動攻撃をブロックするためにレート制限、CAPTCHAチャレンジ、アカウントロックアウトなどの保護措置が実装されています。
Dashlaneのステータスページによると、インシデントの調査は5月31日15:19 UTCに開始され、22:30 UTCには「解決済み」のステータスとなり、影響を受けたすべてのアカウントの停止が解除されたとされています。
6月1日07:32 UTCに発表された続報でも同様のステータスが確認されており、Dashlaneはチームが状況を監視しながら、さらなる的を絞った追加措置を実施中であると保証しています。
プラットフォームが問題を解決済みとしているにもかかわらず、一部のユーザーはサポートが応答しないと述べながら、引き続きログインの問題を報告しています。
BleepingComputerは影響を受けたアカウント数を把握するためDashlaneに追加の質問を送りましたが、本稿執筆時点で同社からの回答は得られていません。
検証のギャップ:自動ペネトレーションテストが答えられる問いは一つだけ。本当に必要なのは六つの問いへの答えです。
自動ペネトレーションテストツールは確かな価値を提供しますが、それらは一つの問いに答えるために作られたものです。攻撃者はネットワークを横断移動できるか?というものです。コントロールが脅威をブロックするか、検知ルールが機能するか、クラウド設定が堅牢かどうかをテストするために設計されたわけではありません。
このガイドでは、実際に検証が必要な6つの攻撃対象領域を解説しています。
