概要：LastPassがフィッシングキャンペーンに警鐘

人気のパスワードマネージャーLastPassは、同社を騙るフィッシングキャンペーンが展開されているとして、ユーザーに緊急警告を発しました。この詐欺メールは、システムメンテナンスを装い、ユーザーに「24時間以内に保管庫をバックアップする」よう促すものです。

LastPassによると、このキャンペーンは月曜日（米国ではマーティン・ルーサー・キング・ジュニア・デーで多くの企業が休業日）頃から開始されたと報告されています。同社は、このメールが正規のリクエストではないことを確認し、顧客がソーシャルエンジニアリングキャンペーンの標的になっていると述べました。

攻撃の手口とLastPassの対応

LastPassの広報担当者は、「このキャンペーンは、偽の緊急性を生み出すように設計されており、フィッシング攻撃で最も一般的で効果的な戦術の一つです」と説明しています。また、LastPassがユーザーにマスターパスワードを尋ねたり、緊急の対応を要求したりすることは決してないと強調しました。

今回のセキュリティ警告には、偽のバックアップ要求の画像に加え、悪意のあるURL、ヘッダー情報、IPアドレス、偽の件名などの詳細が含まれています。LastPassは、複数のメールアドレスが顧客を標的にするために使用されたと述べ、これらのドメインを速やかに停止させるため、サードパーティパートナーと協力していることを明らかにしました。

ホリデーシーズン中にユーザーを標的とすることは、セキュリティチームの対応が遅れることを利用した、攻撃者による一般的な戦術とされています。

過去の経緯とセキュリティ強化

LastPassは、2022年に脅威アクターが同社のソースコードを標的とした侵害を受けて以来、内部のセキュリティプラクティスを刷新してきました。この大規模な見直しの一環として、LastPassの親会社は新しい最高情報セキュリティ責任者（CISO）を迎え入れています。

元記事: https://www.cybersecuritydive.com/news/backup-request-phishing-campaign-lastpass/810083/