- LastPassのフィッシングキャンペーンが被害者からマスターパスワードをだまし取る
- 偽のメンテナンスメールが、至急ボルトをバックアップするようユーザーに警告
- 「LastPassの誰も、あなたのマスターパスワードを尋ねることはありません」
LastPassは、新たなフィッシングキャンペーンについて警告を発し、ユーザーをだましてマスターパスワードを渡させ、ひいてはパスワードのすべて、2FAコード、支払い情報などを含む情報が漏えいする可能性があるとしています。
「予定メンテナンス」を警告する偽メールは、24時間以内にパスワードマネージャーのボルトをバックアップするようユーザーに促しますが、目的は認証情報を盗むことです。
このような偽の緊急性は、被害者に認証情報を共有させるための最も一般的な手口の一つで、怪しい活動を見抜けるはずの基本的な確認を飛ばしてしまうよう急がせます。
LastPassユーザーに対し、2026年1月のフィッシングキャンペーンについて警告
「LastPassは、今後24時間以内にボルトをバックアップするようお客様に求めているわけではありませんのでご注意ください」と同社は強調しました。「LastPassの誰も、あなたのマスターパスワードを尋ねることは決してありません。どうか覚えておいてください。」
本物らしく見えるメールのテンプレートには、セキュリティへの取り組みをうたう文言、バックアップの実行方法の手順、追加の質問のための連絡手段など、必要な要素が一通り盛り込まれています。
しかし、被害に遭う前にユーザーが取れる素早い対策もいくつかあります。例えば、このキャンペーンで使われている送信者アドレスには、support@sr22vegas[.]com、support@lastpass[.]server8、support@lastpass[.]server7、support@lastpass[.]server3 などがあります。
LastPassは、特定したドメインを停止させるためにサードパーティのパートナーと協力しているとし、疑わしいメールは [email protected] に報告するようユーザーに促しています。
