出典:DecaStock(Alamy Stock Photo経由)
進行中のフィッシングキャンペーンが、パスワード管理ベンダーLastPassの顧客を標的にしている。
LastPassは1月20日のブログ投稿で、このキャンペーンを自ら公表した。同社のThreat Intelligence, Mitigation, and Escalation(TIME)チームによると、攻撃者は1月19日ごろから顧客のボルトを狙い始めたという。投稿では、この日が米国の祝日週末(マーティン・ルーサー・キング・ジュニア・デー)に当たっていた点にも触れている。サイバー犯罪者は、ITおよびセキュリティチームの人員が少なくなることを見越して、祝日週末を狙って脅威活動を行うことがある。
メールは複数のアドレスから送信され、件名も複数あるが、概ね「予定されたメンテナンス」が迫っているとして顧客に「ボルトをバックアップする」よう促す内容になっている。送信元アドレスの中にはsupport@lastpass[.]server8のようにかなりもっともらしいものもあり、本文も正規の企業から来たように見える程度にはそれらしく作られている。
件名の例としては、「LastPassインフラ更新:今すぐボルトを保護」、「あなたのデータ、あなたの保護:メンテナンス前にバックアップを作成」、「見逃し厳禁:メンテナンス前にボルトをバックアップ」、「重要:LastPassメンテナンスとボルトのセキュリティ」、「パスワードを保護:ボルトをバックアップ(24時間の猶予)」などがある。
生成AI(GenAI)などの影響により、攻撃者はもっともらしいフィッシングメールを作成する手段の面で優位に立っている。予想どおり、誤字や不自然な書式のものも依然として多い一方で、LLM搭載の文章・コードエディタのおかげで、完璧な文法や凝ったHTML要素を備えたものも増えている。
これらのメールはフィッシングサイトへ誘導し、ユーザーにログイン認証情報を入力させることで、攻撃者がユーザーのボルト全体にアクセスできる可能性がある。これは個人・企業双方にとって悪夢のようなセキュリティシナリオであり、判断ミスひとつ、あるいはメールを手作業で確認しただけでも、壊滅的な結果を招きかねない。
LastPassのフィッシング悪夢を回避する
とはいえ、パスワードマネージャーは概して良好な情報セキュリティ衛生習慣だと考えられている。適切に運用すれば、パスワードを覚える負担を軽減し、容易に破られる弱いパスワードの使用を防ぎ、付箋やメモアプリのようなものでパスワードを保存したくなる状況を避けられる。
「LastPassの誰も、マスターパスワードを尋ねることは決してありません。どうか覚えておいてください」LastPassは注意喚起の投稿で述べた。「それまでの間、適切な予防策を講じてください。そしていつもどおり、LastPassブランドのメールが正当なものか少しでも不安がある場合は、[email protected]に提出してください。」
ユーザーは今後数日、LastPassを名乗るメールに特に注意を払い、メールアドレスや件名にフィッシングの誘い文句の兆候がないか確認することを忘れないようにしたい。また広く、個人および組織は一般的なソーシャルエンジニアリング手口に習熟し、適切な場合にはフィッシング耐性のある認証メカニズムの採用を検討すべきだ。
パスワードボルトをさらに保護したいユーザー向けに、LastPassには認証アプリやハードウェアキーとの互換性、生体認証、状況(例:位置情報ベース)認証などの多要素認証機能が含まれている。市場にある他のパスワードマネージャーにも、二次認証機能が備わっている。
LastPassの広報担当者はDark Readingに対し、このキャンペーンで標的となった顧客数は不明だとしつつも、「現時点では、いずれのアカウントも侵害されたことを示す兆候はありません」と述べている。
脅威アクターの特定については、同担当者は「全体的な手口と広範な顧客への標的化は、サイバー犯罪グループのものに最も近い」と述べている。
翻訳元: https://www.darkreading.com/application-security/phishing-campaign-zeroes-lastpass-customers
