LastPassは、偽のセキュリティ通知を使ってユーザーを不正なウェブサイトへ誘導するフィッシングキャンペーンが進行中であるとして、注意を呼びかけています。
今回のフィッシングメールは正規の企業からの通知に見えるよう巧妙に作られており、セキュリティポリシーが更新されたと受信者に知らせたうえで、DocuSignになりすましたランディングページへ誘導し、確認すべき文書があると偽って提示します。
LastPassは、攻撃者が正規の企業サービスに見せかけたドメインを使用しているものの、自社のシステムが侵害された事実はなく、これらのフィッシングメールが同社のインフラから送信されたものではないと強調しています。
「[email protected]」から送信されるこのメールは、SaaS監視機能の強化、管理者向けマスターパスワードのリセットオプション、管理コンソールの改善など、LastPassのサービスポリシーが変更されたと偽って受信者に通知します。

メール内に埋め込まれた「Review & Access Terms」ボタンをクリックすると、電子文書の送信・署名・管理に広く使われているDocuSignサービスになりすましたウェブサイトに誘導されます。
しかし、実際に使用されているドメインはlastpasscompliance[.]comであり、Microsoft Defender for Office 365およびCloudflareによって悪意のあるものとしてフラグが立てられています。

LastPassはこのキャンペーンの目的を確認できていないとしていますが、同社によれば、この偽サイトはユーザーに対してWindowsとmacOSの両方に対応するとうたうファイルのダウンロードを促してくるとのことです。
このサイトにはチャットボックスによるライブサポート機能が用意されていますが、実際に機能しているかどうかは不明です。本記事執筆時点で、この不正なウェブサイトはすでに閉鎖されています。
BleepingComputerの調査により、Bitwardenのユーザーも同様の手口の標的になっていることが判明しました。この場合は「[email protected]」からメールが送信され、bitwardencompliance[.]comへ誘導されます。

LastPassは3月にも、不正なアカウントアクセスを警告する偽アラートがこのパスワード管理サービスになりすましている事例について注意喚起を行っており、緊急性を演出してデータ漏えいにつなげるべく捏造されたやり取りのスレッドを用いてユーザーを狙う手口が確認されていました。
さらにさかのぼると1月には、システムメンテナンスが予定されているとの名目で、24時間以内に保管庫のバックアップを取るよう求める偽アラートがLastPassユーザーを標的にしていました。
LastPassは、マスターパスワードをユーザーに尋ねることは決してないと注意を促しており、不審な連絡を受け取った場合は[email protected]へ報告するよう呼びかけています。
フィッシングサイトに認証情報を入力してしまったユーザーは、信頼できる端末から直ちにマスターパスワードを変更し、保管庫内に不審な活動がないか確認することが推奨されます。
攻撃者に先んじて、あらゆる防御層をテストする
セキュリティチームが記録できているのは、成功した攻撃のうちわずか54%にすぎず、アラートが発報されるのはたった14%です。残りは環境内を検知されないまま通過しています。
Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMやEDRのルールをテストし、脅威の見逃しを防ぐ方法を紹介しています。