Dashlaneは、最近実施したセキュリティ調査の結果を公表しました。同社のデバイス登録システムに対する標的型のブルートフォース攻撃によって、一部のユーザーが被害を受けたことが確認されています。
同社は、内部インフラへの侵害はなく、少数のアカウントを超えた広範な侵害を示す証拠も存在しないと強調しています。
デバイス登録機能の悪用
今回のインシデントは、Dashlaneのデバイス登録ワークフローを標的としたものです。このフローは、ユーザーが新しいデバイスをアカウントに安全に追加するための仕組みで、通常は登録済みのメールアドレスへ送信されるワンタイム6桁コード、または二要素認証(2FA)アプリで生成されたコードを使った本人確認が必要です。
攻撃者はこのプロセスに関連するAPIエンドポイントを標的とし、有効な認証トークンを推測するため大量のブルートフォース攻撃を仕掛けました。リクエストを自動化して繰り返し送信することで、20件未満の個人プランアカウントに対するトークン検証の制御を突破しました。
有効なトークンを入手した攻撃者は、不正なデバイスの登録に成功し、被害者の暗号化されたパスワード保管庫のコピーをダウンロードしました。
不正ダウンロードが発生したものの、Dashlaneは、すべての保管庫データは暗号化された状態が維持されていたと発表しました。内容にアクセスするにはユーザーのマスターパスワードが必要であり、ゼロ知識アーキテクチャの下、マスターパスワードがDashlaneのサーバーに保存・送信されることは一切ありません。
Dashlaneは、鍵導出にArgon2、暗号化にAES-256-CBC、完全性検証にHMAC-SHA256を組み合わせた強固な暗号化スタックを採用しています。マスターパスワードがない限り、保管庫の復号は計算上不可能です。
このことから、攻撃の実質的な影響は大きく限定されており、攻撃者が機密データにアクセスするには、ユーザーの認証情報を別途入手する必要があります。
Dashlaneの自動セキュリティシステムが異常なトラフィックパターンを検知し、標的となったユーザーのアカウントをロックアウトしました。これにより、攻撃がさらに拡大する前に封じ込めることができました。
インシデント発生後、Dashlaneは悪意のあるリクエストをより効果的に識別・ブロックするためのネットワークレベルの追加保護を実装しました。また、同様の悪用シナリオを防ぐため、デバイス登録フローに追加の検証レイヤーを設ける強化も進めています。
影響の評価
- 影響を受けた個人アカウントは20件未満
- Dashlaneの内部システムへの侵害なし
- 暗号化された保管庫へのアクセスはあったが、復号はされていない
- マスターパスワードや認証シークレットの流出なし
今回のインシデントは、認証ワークフローに関連するリスクを改めて浮き彫りにしました。特に、レート制限が不十分だったり異常検知が貧弱だったりする場合、トークンベースの検証がブルートフォース攻撃にさらされる危険があります。
暗号化によってデータの流出は防がれたものの、保管庫がダウンロードされてしまった事実は、本人確認システムにおける多層防御の重要性を改めて示しています。
同様の仕組みを実装している組織は、自動化攻撃を軽減するため、厳格なレート制限、行動分析、アダプティブ認証メカニズムの導入を徹底することが求められます。
Dashlaneは、引き続きセキュリティ強化に取り組み、新たな保護策の展開に応じてユーザーへの情報提供を続けていくと述べています。
翻訳元: https://gbhackers.com/dashlane-how-hackers-downloaded-encrypted-password-vaults/
