概要:LastPassユーザーを狙う巧妙なフィッシングキャンペーン
パスワード管理サービスLastPassは、ユーザーに対し、遺産相続プロセスの一環としてパスワード保管庫へのアクセス要求を装ったフィッシングキャンペーンについて警告を発しています。この活動は10月中旬に始まり、使用されているドメインとインフラは、金融目的の脅威グループCryptoChameleon(UNC5356)によるものと指摘されています。CryptoChameleonは、Binance、Coinbase、Kraken、Geminiなどの仮想通貨ウォレットを標的としたフィッシングキットを使用し、偽のOkta、Gmail、iCloud、Outlookサインインページを悪用することで知られています。
巧妙な手口:偽の死亡証明書と相続プロセス
LastPassユーザーに送られるフィッシングメールは、家族が死亡証明書をアップロードし、LastPass保管庫へのアクセスを要求したと主張します。LastPassの相続プロセスは、アカウント所有者が死亡または無能力になった場合に、指定された個人が保管庫へのアクセスを要求できる緊急アクセス機能です。このような要求が開かれると、アカウント所有者にはメールが届き、待機期間が経過すると自動的にアクセスが許可されます。
この偽の相続要求には、正当性を高めるためにエージェントID番号が含まれており、受信者に対し、もし死亡していないのであればリンクをクリックしてキャンセルするよう促します。しかし、このリンクはlastpassrecovery[.]comという詐欺サイトにリダイレクトされ、被害者はそこでマスターパスワードを入力するよう誘導されます。さらに悪質なケースでは、脅威アクターがLastPassのスタッフを装って被害者に電話をかけ、フィッシングサイトに資格情報を入力するよう指示したことも報告されています。
パスキーも標的に:進化する攻撃手法
今回のキャンペーンの重要な要素は、パスキーを標的としたフィッシングドメイン(例:mypasskey[.]info、passkeysetup[.]com)の使用です。これは、ユーザーのパスキーを盗もうとする試みを示しています。パスキーは、FIDO2/WebAuthnプロトコルに基づくパスワードレス認証標準であり、記憶されたパスワードの代わりに非対称暗号を使用します。LastPass、1Password、Dashlane、Bitwardenなどの最新のパスワードマネージャーは現在、デバイス間でパスキーを保存および同期しており、脅威アクターはこれらを直接標的にし始めています。
過去の被害と背景
CryptoChameleonグループは、2024年4月にもLastPassユーザーを標的にしたことがありますが、今回のキャンペーンはより広範囲にわたり、強化されているようです。LastPassは2022年に大規模なデータ侵害に見舞われ、攻撃者によって暗号化された保管庫のバックアップが盗まれました。この事件は、その後の標的型攻撃につながり、約440万ドル相当の仮想通貨の損失を引き起こしました。
セキュリティ対策の重要性
Picus Blue Report 2025によると、パスワードクラッキングの発生率は2倍に増加し、環境の46%でパスワードがクラッキングされており、昨年の25%からほぼ倍増しています。このような状況下で、ユーザーはフィッシング詐欺に対する警戒を怠らず、不審なメールやリンクには決して反応しないことが極めて重要です。また、多要素認証の利用や、パスワードマネージャーのセキュリティ警告に注意を払うなど、自身のデジタル資産を保護するための対策を強化する必要があります。