LastPassは、2026年1月19日に開始された進行中のフィッシングキャンペーンに関して、重大なセキュリティ警告を発出しました。
悪意ある攻撃者はLastPassのサポート担当者になりすまし、緊急のボルトバックアップが必要だと主張する不正なメールを送信して、疑いを持たないユーザーからマスターパスワードを収集しようとしています。
このフィッシングメールは、人工的な緊急性を作り出し、LastPassのメンテナンスのために顧客が24時間以内にボルトをバックアップする必要があると虚偽の主張をすることで、ソーシャルエンジニアリングの手口を用いています。
LastPassは、顧客のマスターパスワードを要求したり、メールで即時のボルトバックアップを求めたりすることは決してないと明確に確認しています。
このキャンペーンは米国の祝日週末に合わせて戦略的に開始されており、セキュリティ要員の減少やインシデント対応の遅れにつけ込むことを狙った、意図的なタイミングの選択です。
脅威アクターは、検知される前に侵害の成功率を最大化するため、このような時間帯を悪用することがよくあります。
フィッシング基盤は主に2つの要素で構成されています。侵害されたAWS S3インフラ上でホストされる初期リダイレクトと、正規のLastPassサービスを模倣するよう設計されたなりすましドメインです。
ユーザーは、LastPassのメンテナンスが必要だと主張するメールは直ちに削除してください。正規のLastPassからの連絡が、迷惑メールとして送られてくるメールでマスターパスワードやボルトのバックアップ、または緊急の対応を求めることは決してありません。
組織は、特定された送信元アドレスからのメッセージをブロックするためのメールセキュリティ制御を実装し、人工的に緊急性を煽る文言や機密資格情報の要求など、フィッシングの兆候についてスタッフを教育すべきです。
翻訳元: https://cyberpress.org/lastpass-warns-of-fake-maintenance/