更新 パスワードマネージャーは、王国の鍵を数多く保管できるため、攻撃者にとって格好の標的になります。今回、LastPassは、予定されたメンテナンスに先立って対応が必要だと主張するフィッシングメールについて顧客に警告し、この詐欺に引っかからないよう呼びかけました。
LastPassによると、最新のフィッシングキャンペーンは1月19日ごろに始まり、複数の件名で複数のアドレスからメールが送信されました。いずれもLastPassのメンテナンスに関する内容で、24時間以内に保管庫(vault)をバックアップするよう顧客に促しています。
同社は月曜日のセキュリティ勧告で、「LastPassは、今後24時間以内に保管庫をバックアップするよう顧客に求めているわけではありません」と述べました。
警告は続けて、「これは悪意ある行為者が受信者の心に緊急性を生み出そうとする試みで、ソーシャルエンジニアリングやフィッシングメールでよく使われる手口です」としています。「LastPassの誰も、マスターパスワードを尋ねることは決してありません。どうか覚えておいてください」
LastPassの保管庫には、ユーザー名、パスワード、クレジットカード情報、セキュアノートといった顧客の最も機微な情報が、単一のマスターパスワードで保護された形で保存されています。このため、犯罪者にとってLastPassは常に標的となり、これらの情報はさまざまな金銭的詐欺やなりすまし詐欺に悪用され得ます。
わずか2カ月前にも、このパスワードマネージャーは、ユーザーに「死亡していないことを確認」するよう求める別のフィッシングキャンペーンについて警鐘を鳴らしていました。
これらのメールは米国のマーティン・ルーサー・キング・ジュニアの祝日週末に送信されており、このタイミングも詐欺師が使う別の手口を反映しています。多くの人が休暇で仕事を休むため、詐欺を報告する従業員が少なくなりがちで、通常はフィッシングキャンペーンの発見が遅れる助けになります。
1月20日のフィッシングメールのスクリーンショットには、顧客が「今すぐバックアップを作成」できると称するリンクが含まれています。しかし、LastPassの保管庫をバックアップする代わりに、被害者はまず次のURLへリダイレクトされます:group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf
そして次に:mail-lastpass[.]com。
しかし、このリンクをクリックしても顧客の保管庫のバックアップに役立つわけではなく、被害者は、マスターパスワードをだまし取るよう設計されたフィッシングサイトへ誘導され、LastPassの保管庫に保存された認証情報が露出する可能性があります。
LastPassはオンラインの勧告で、「ご安心ください。当社は第三者パートナーと協力し、このドメインをできるだけ早く停止させるために取り組んでいます」と述べています。
この勧告には、悪意あるURLと関連するIPアドレスの一覧に加え、フィッシングを送信しているメールアドレスや件名も含まれているため、脅威ハンティングの取り組みに役立てるためにも確認してください。
当社の問い合わせに対し、LastPassは木曜日、同様の手口を用いた別のフィッシングメールの波が顧客に送信されたことを確認しました。
広報担当者はThe Registerに対し、「メール本文は元のキャンペーンと同じままですが、LastPassが初期インフラを妨害したことを受け、新たな波のメールではリンクが変更されています」と語りました。パスワードマネージャーはその後、このキャンペーンについてブログを更新しました。現時点では、詐欺師によってユーザーのアカウントが侵害された事例は把握していないものの、同社は「引き続き本件を調査している」と当社に伝えました。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/21/lastpass_backup_phishing_campaign/
