Dashlaneは、脅威アクターが一部の顧客アカウントにアクセスし、暗号化されたボルトのコピーを取得したブルートフォース攻撃について、新たな詳細を公表しました。
Dashlaneは、攻撃者が同社の内部システムを侵害した証拠は確認されていないと述べています。
同社がこのインシデントを最初に認めたのは5月31日のことで、アカウント停止メールを受け取ったユーザーやログインに問題が生じたユーザーからの報告がきっかけとなりました。
「セキュリティ上の理由により、お客様のアカウントは一時的に停止されました。第三者が新しいデバイスを登録しようとしましたが、数回の試行後も正しいトークンが入力されませんでした」と記されたメールには、アクセスを回復するためにカスタマーサポートへ連絡するよう案内が記載されていました。
その後まもなく、Dashlaneはアカウント停止通知を受け取り、マスターパスワードをリセットした後もログインが困難になったというユーザーからの報告を受け、調査を開始しました。
Dashlaneによると、脅威アクターはデバイス登録に使用されるAPIエンドポイントを標的とし、ユーザーアカウントへのアクセスを試みるために大量の自動リクエストを送り付けました。同社の自動セキュリティシステムは、影響を受けたユーザーを保護するため、標的となったアカウントをロックすることで対応したとしています。
「攻撃が完全に収束する前に、脅威アクターは20名未満の個人プラン顧客に対してブルートフォース攻撃を成功させ、有効なトークンを生成しました。これにより、攻撃者は当該アカウントに新しいデバイスを登録し、ユーザーの暗号化されたボルトのコピーをダウンロードすることができました」と、Dashlaneは発表しています。
セキュリティアドバイザリでは、コピーされたボルトは暗号化されたままであり、復号にはユーザーのマスターパスワードが必要であると説明しています。ただし、窃取されたボルトはオフラインでのパスワードクラッキングの試みにさらされる可能性があるため、ユーザーのマスターパスワードの強度が漏洩リスクを抑えるうえで重要な要素となります。
「ボルトに影響を受けた非常に限られた数のお客様にはすでに連絡を取りました。そのわずかなケースにおいて、攻撃者はマスターパスワードがなければ解錠できない暗号化ボルトのコピーを取得するにとどまりました。」
今回のインシデントを受けて、Dashlaneはネットワークレベルおよびプロダクトレベルで悪意あるトラフィックを検出・フィルタリングするための追加保護策を展開したと発表しました。また、デバイス登録プロセスへの確認ステップの追加も進めています。
同社の障害対応はReddit上で批判を浴び、問題が発生している最中に情報提供が不十分だったとの声がユーザーから上がっています。
今年初め、ETHチューリッヒとスイス・イタリア語大学(Università della Svizzera italiana)の研究者らが、Dashlaneを含む複数の主要なパスワードマネージャーにおける設計上の脆弱性を指摘しました。今回のブルートフォース攻撃とは直接関係ありませんが、研究者らは、プロバイダーのインフラが侵害された場合に暗号化ボルト内のデータが漏洩または改ざんされうるシナリオを実証しています。
窃取されたパスワードボルトに関するリスクは、インシデント発生後も長期にわたって続く場合があります。TRM Labsは、2022年のLastPass侵害で盗まれた暗号化ボルトのバックアップが、脆弱なマスターパスワードを使ってクラックされ続け、2025年に至っても暗号資産の盗難が発生していると警告しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/05/dashlane-brute-force-attack-vaults-customer-accounts/
