LastPassは、サービスからのメンテナンス通知を装い、ユーザーに今後24時間以内に保管庫をバックアップするよう求める新たなフィッシングキャンペーンについて警告しています。
悪意のあるメールには、暗号化されたバックアップを作成できるサイトへユーザーを誘導するとされるリンクが含まれており、攻撃者はそこでアカウントの乗っ取りや保管庫のマスターパスワードの窃取を試みている可能性があります。
「LastPassはお客様に対し、今後24時間以内に保管庫をバックアップするよう求めていません。むしろ、これは悪意ある行為者が受信者の心に緊急性を生み出そうとする試みであり、ソーシャルエンジニアリングやフィッシングメールでよく使われる手口です」と、LastPassは警告しています。
LastPassの脅威インテリジェンス、緩和、エスカレーション(TIME)チームは、このキャンペーンが1月19日に開始されたとみており、「support@lastpass[.]server8」や「support@sr22vegas[.]com」といった形式のメールアドレスから、以下の件名で配信されたフィッシングメッセージを確認したとしています。
- LastPassインフラ更新:今すぐ保管庫を保護してください
- あなたのデータ、あなたの保護:メンテナンス前にバックアップを作成してください
- 見逃し厳禁:メンテナンス前に保管庫をバックアップしてください
- 重要:LastPassメンテナンスと保管庫のセキュリティ
- パスワードを保護:保管庫をバックアップ(24時間の猶予)
本物のLastPassからの連絡に見えるよう巧妙に作られたこれらのメールは、近く実施されるインフラメンテナンスに備えてデータを保護するため、ユーザーが保管庫をローカルにバックアップする必要があると述べています。
「お客様のデータは常に完全に保護されていますが、ローカルバックアップを作成することで、メンテナンス時間中も資格情報へ途切れることなくアクセスできます」と、フィッシングメールには記されています。
「万が一、予期せぬ技術的問題やデータの不一致が発生した場合でも、最新のバックアップがあれば情報が安全で復元可能であることが保証されます。」
出典:LastPass
メールに埋め込まれた「Create Backup Now」ボタンをクリックしたユーザーは、「mail-lastpass[.]com」にあるフィッシングサイトへリダイレクトされますが、執筆時点ではオフラインのようです。
LastPassは、攻撃者が米国の祝日を含む週末にこのキャンペーンを開始したのは、同社の人員が手薄で迅速な対応が取りにくい状況を狙ったためだと述べています。
このパスワード管理企業は、マスターパスワードをユーザーに尋ねることは決してないと改めて注意喚起し、このような事案は「[email protected]」へ報告するよう促しています。
LastPassユーザーは、さまざまなテーマや誘い文句を用いてパスワードを明かさせようとするフィッシングキャンペーンの標的に頻繁になっています。
2025年10月には、フィッシングキャンペーンが偽の死亡申告を用いて、レガシー(遺産)継承プロセスを発動させました。
その1週間前には、別のキャンペーンが偽の侵害警告を用い、より安全なデスクトップ版のクライアントアプリをダウンロードするようユーザーに促しました。
