サイバーニュース.jp

世界のサイバーなニュースを配信

【フィッシング警告】LastPassを装った詐欺メールがマルウェアを拡散中

カテゴリ:

, , , , , , , , ,

概要

2025年10月16日、LastPassを装った新たなフィッシングキャンペーンが確認されました。このキャンペーンは、ユーザーを騙して悪意のあるデスクトップソフトウェアをダウンロードさせ、マルウェアを拡散することを目的としています。

詐欺メールの詳細

「hello@lastpasspulse.blog」または「hello@lastpassgazette.blog」を名乗る偽のメールが流通しており、件名は「We Have Been Hacked – Update Your LastPass Desktop App to Maintain Vault Security.(ハッキングされました – ボールトのセキュリティを維持するためにLastPassデスクトップアプリを更新してください。)」という、ユーザーの不安を煽る内容です。

実際にはLastPassは侵害されておらず、攻撃者はユーザーの恐怖と緊急性を悪用してマルウェアのインストールを誘い込んでいます。これらの詐欺メールは、公式のLastPass通信と酷似したトーンとフォーマットで、「ボールトが危険にさらされているため、緊急のデスクトップアプリの更新が必要」と警告しています。

悪意のあるドメインとインフラ

メールに埋め込まれたリンクは、正規のLastPassダウンロードページに見せかけていますが、実際には以下の悪意のあるドメインのいずれかにユーザーを誘導します。

  • lastpassdesktop.com (IPアドレス: 172.67.147.36)
  • lastpassgazette.blog (IPアドレス: 84.32.84.32)

さらに、攻撃者は「lastpassdesktop.app」 (IPアドレス: 172.67.219.2) も事前に登録しており、今後のキャンペーン拡大を計画していることが示唆されています。これらのドメインは、サイバー犯罪者がテイクダウン要請に抵抗するために好んで利用する、悪名高いブレットプルーフホスティングプロバイダーであるNICENICでホストされています。

このキャンペーンが米国の祝日期間中に開始されたことは、セキュリティチームの人員が手薄になる時期を狙い、検出とフィッシングインフラの削除を遅らせる意図があると考えられます。

攻撃者の手口と技術的特徴

このスキームの根幹はソーシャルエンジニアリングにあります。セキュリティ侵害を偽装することで、攻撃者はパニックと緊急性に対する人間の本能的な反応を悪用しています。受信者は注意を怠り、悪意のあるインストーラーを実行するように促され、これによりキーロガー、バックドア、または機密情報を収集するためのその他のマルウェアが展開される可能性があります。

主な侵害の兆候は以下の通りです。

  • 送信元アドレス: 正規のLastPassメールサーバーは「@lastpasspulse.blog」や「@lastpassgazette.blog」を使用しません。
  • ドメイン登録: ドメインは最近登録されたもので、WHOIS情報が最小限であり、LastPassとの関連性はありません。
  • ホスティングプロバイダー: 違法な活動を隠蔽することで悪名高いNICENICのブレットプルーフホスティングを使用しています。
  • タイミング: 監視やインシデント対応の遅延を悪用するため、祝日期間中に開始されています。

アナリストは、フィッシングサイトが表面的にはLastPassの公式ポータルに似ているものの、認識された認証局によって署名された適切なTLS証明書を欠いていると指摘しています。訪問者はCloudflareからのフィッシングコンテンツに関する一般的な警告を受け取りますが、不注意なユーザーはメールによってプレッシャーを感じ、これらの警告を無視または上書きする可能性があります。

推奨される対策

LastPassユーザーは警戒を怠らず、LastPassの誰もマスターパスワードを尋ねたり、未検証の更新をダウンロードするよう促したりすることはないことを覚えておく必要があります。疑わしいメールを受信した場合は、以下の対策を講じてください。

  • リンクをクリックしたり、添付ファイルをダウンロードしたりしないでください。
  • 送信元のドメインを確認し、スペルミスや書式設定のエラーがないかチェックしてください。
  • リンクにカーソルを合わせて、実際の宛先ドメインを確認してください。
  • abuse@lastpass.comにメールを報告し、さらなる分析を依頼してください。
  • LastPassアカウントで多要素認証を有効にしてください。
  • アンチウイルス定義を定期的に更新し、エンドポイント保護を導入してマルウェアのインストールを検出・ブロックしてください。

LastPassの対応

LastPassは現在、ドメインレジストラ、ホスティングプロバイダー、法執行機関と積極的に連携し、テイクダウンを促進しています。公開時点では、Cloudflareはすでに悪意のあるサイトの前に警告ページを挿入し、被害者を阻止しています。

最新のフィッシング手口について情報を入手し、予期せぬセキュリティ警告に対して慎重な精査を行うことで、LastPassユーザーは自身の認証情報を保護し、パスワードボールトの整合性を維持することができます。

元記事: https://gbhackers.com/fake-lastpass-hack/

投稿をさらに読み込む