LastPassを騙るフィッシング詐欺に注意喚起
パスワード管理サービス大手LastPassは、同社のサービスを装った新たなフィッシング詐欺キャンペーンについてユーザーに警告しています。この詐欺メールは、メンテナンスを装ってユーザーに対し、24時間以内にパスワード保管庫(Vault)のバックアップを取るよう促すものです。
巧妙な手口:緊急性を煽るバックアップ要請
悪意のあるメールには、暗号化されたバックアップを作成できると称するリンクが含まれており、攻撃者はこれを利用してアカウントの乗っ取りやマスターパスワードの窃取を試みる可能性があります。LastPassは、「LastPassが24時間以内に保管庫のバックアップを顧客に求めることは決してありません。これは悪意のある行為者が受信者の心に緊急性を生み出そうとする試みであり、ソーシャルエンジニアリングやフィッシングメールの一般的な戦術です」と強調しています。
攻撃の詳細と特定された情報
LastPassの脅威インテリジェンスチームは、このキャンペーンが1月19日に開始されたと考えています。フィッシングメッセージは、「support@Library/Application Support/BraveSoftware/Brave-Browser-Beta/Default/Extensions/aeblfdkhhhdcdjpifhhbdiojplfjncoa/8.11.27.2_0/assets/svg/import_guide_lastpass-JSKKDGBA.svg[.]server8」や「support@sr22vegas[.]com」といったメールアドレスから配信されています。確認された件名には以下のものがあります:
- LastPass Infrastructure Update: Secure Your Vault Now
- Your Data, Your Protection: Create a Backup Before Maintenance
- Don’t Miss Out: Backup Your Vault Before Maintenance
- Important: LastPass Maintenance & Your Vault Security
- Protect Your Passwords: Backup Your Vault (24-Hour Window)
メールの内容は、今後のインフラメンテナンスのためにデータを保護するため、保管庫をローカルにバックアップする必要があると説得力のある形で書かれています。「データは常に完全に保護されていますが、ローカルバックアップを作成することで、メンテナンス期間中も中断なく資格情報にアクセスできます」と詐欺メールは述べています。また、「予期せぬ技術的な問題やデータの不一致が発生した場合でも、最近のバックアップがあれば情報が安全に回復できることが保証されます」と付け加えています。
フィッシングサイトへの誘導と対策
メール内の「Create Backup Now」ボタンをクリックすると、「mail-lastpass[.]com」というフィッシングサイトにリダイレクトされますが、執筆時点ではこのサイトはオフラインになっています。LastPassは、攻撃者が米国の祝日中にこのキャンペーンを開始し、人員が不足している状況を狙って迅速な対応を遅らせようとしたとコメントしています。
同社は、マスターパスワードを尋ねることは決してないことをユーザーに改めて伝え、このような事件は「abuse@lastpass.com」に報告するよう強く呼びかけています。
過去の脅威事例
LastPassユーザーは、パスワードを漏洩させるための様々なテーマや誘惑を用いたフィッシングキャンペーンの標的となることが頻繁にあります。2025年10月には、偽の死亡通知を利用して遺産相続プロセスを騙るフィッシングキャンペーンがありました。その1週間前には、偽の侵害警告を用いて、より安全なデスクトップ版クライアントアプリをダウンロードするよう促すキャンペーンも確認されています。