パスワードマネージャーのDashlaneは、2026年5月31日から6月4日にかけて、脅威アクターが二要素認証(2FA)の保護をブルートフォース攻撃で突破し、個人プランユーザー20名未満の暗号化ボルトをダウンロードした事態を受け、詳細なインシデント後アドバイザリを公開しました。
攻撃は2026年5月31日(日曜日)に始まりました。外部の脅威アクターが、Dashlaneのデバイス登録APIエンドポイントを標的とした自動化ブルートフォースキャンペーンを展開したのです。
攻撃者の目的は、大量のリクエストでエンドポイントを飽和させて2FA検証を回避し、ユーザーの登録メールアドレスに送信される、あるいは認証アプリで生成される有効な6桁のワンタイムトークンを体系的に推測することでした。
Dashlaneの自動セキュリティ制御は設計通りに機能し、異常なトラフィック量によってフラグが立てられたアカウントをロックしました。
しかし、攻撃が完全に封じ込められる前に、脅威アクターは個人プランアカウントの一部に対して有効なトークンのブルートフォースに成功し、それらのアカウントに不正なデバイスを登録して、ユーザーの暗号化ボルトのコピーをダウンロードしました。
この深刻度を正確に理解するには、Dashlaneのデバイス登録フローについての背景知識が不可欠です。
ユーザーが新しいデバイスを追加する際、2FAが有効なアカウントでは、Dashlaneはメールで送信されるかアプリで生成される6桁のトークンを使ってアカウント所有者を認証します。コードが検証されると、Dashlaneはそのデバイスを登録し、暗号化ボルトのコピーを送信する仕組みです。
脅威アクターが悪用したのは、まさにこのステップでした。トークンをブルートフォースすることで、攻撃者はデバイス登録プロセスのなりすましに成功し、自らが制御するデバイスへの自動的なボルトダウンロードを引き起こしました。
不正なボルトのダウンロードが発生したにもかかわらず、Dashlaneは、盗まれたデータはユーザーのマスターパスワードなしにはアクセスできない状態のままであることを強調しています。
ボルトはArgon2 + AES-256-CBC + HMAC-SHA256という強化された暗号化スタックで保護されており、ボルト自体に対するオフラインのブルートフォース攻撃は、長期間にわたっても統計的に実行不可能となっています。
重要な点として、Dashlaneのゼロ知識アーキテクチャにより、マスターパスワードとその派生データはDashlaneのサーバーに一切保存されないため、サーバー側での認証情報窃取という攻撃ベクターが根本的に排除されています。
Dashlaneはユーザーに対し、登録済みデバイスを確認して心当たりのないエントリを削除し、2FAが未設定の場合は有効化するよう呼びかけています。また、マスターパスワードを長く、ユニークで、推測しにくいものにすることも強く求めています。
同社は、フィッシング被害を疑う場合を除き、マスターパスワードの変更は不要であると確認しています。
今回のインシデントは、パスワードマネージャーが抱える根強い課題を改めて浮き彫りにしています。コアとなる暗号化が機能していても、攻撃者は周辺の認証フローを悪用することで、将来のオフライン攻撃に向けたデータを手元に確保できてしまうのです。
翻訳元: https://cyberpress.org/dashlane-encrypted-password-vaults/
