ニュース
2025年10月24日6分
パスワードマネージャーフィッシングソーシャルエンジニアリング
奇妙な言い回しのメッセージは、生存者をターゲットにし、メッセージが自分宛でないと思わせて悪意のあるリンクをクリックさせようとする。
あなたは本当にまだ生きていますか?もしそうなら、LastPassパスワードマネージャーユーザーのマスターログインパスワードを狙ったフィッシング詐欺に引っかかるかもしれません。
奇妙に聞こえるかもしれませんが、ある意味ではそうでもありません。人が亡くなった場合、遺族は故人のパスワードマネージャーにアクセスする方法が分からず、ベンダーにアクセスを求めて連絡することがあります。CryptoChameleonサイバー犯罪グループの一員と疑われる詐欺師たちは、LastPassの顧客に奇妙な言い回しのフィッシングメッセージを送りつけて、これを悪用しようとしています。
目的は、おそらくLastPassのログイン認証情報だけでなく、ユーザーの暗号通貨ウォレットにアクセスして中身を抜き取ることにもあると考えられます。
金曜日、LastPassは顧客に警告を発信しました。このフィッシングキャンペーンは今月中旬から始まっており、メッセージがLastPassのドメインを偽装して会社から送信されたように見せかけているためです。
件名は「レガシーリクエストが開かれました(もし亡くなっていなければ緊急)」と記載されており、メッセージは「家族が<被害者の名前>のLastPassアカウントへのアクセスを取り戻すために死亡証明書をアップロードしました。もしあなたが亡くなっておらず、これが間違いだと思う場合は、このメールに『停止』と返信してください。」と始まります。
メールには、リクエストを実行するためのサポートケースが開かれたと記載されており、担当エージェントのID番号、ケースが開かれた日付、ケースの優先度など、作り話の情報が含まれています。
また、リクエストをキャンセルするためのリンクも含まれていますが、実際には被害者を攻撃者が管理するURLに誘導し、LastPassのマスターパスワードを入力させて認証情報を盗み取ろうとします。
メールの締めくくりには「あなたのセキュリティは私たちの最優先事項です。マスターパスワードは誰とも―私たちとも―絶対に共有しないでください!」と記載されています。
場合によっては、脅威アクターがLastPassを名乗って電話をかけ、フィッシングサイトにアクセスしてマスターパスワードを入力するよう促すこともありました。
LastPassは警告の中で、マスターパスワードを求めることは決してないとユーザーに再度注意喚起しました。
防ぐのが難しい手口
カナダ拠点の従業員セキュリティ意識向上企業Beauceron Securityの責任者David Shipley氏は、この手口を「今年見た中で最も創造的な」フィッシングの誘い文句だと評しました。
「このアイデアを思いつくのにAIを使ったのかと疑いたくなります」とも付け加えました。
しかし、KnowBe4のデータ主導型防御CISOアドバイザーRoger Grimes氏は、「これまで見た中で最も奇妙なフィッシングの誘い文句とは程遠い」と述べ、全ての成功したハッキングの最大90%にソーシャルエンジニアリングが関与しているとメールで語りました。
「今回のケースでは、ソーシャルエンジニアリングによってユーザーにマルウェアをダウンロードさせることが目的でした。これは防ぐのが難しい手口です。私は常に『予期しないメッセージで、これまでその送信者から頼まれたことのない行動を求められた場合は、信頼できる方法でリクエストを調べてから実行する』ことを徹底するようにと伝えています。これだけで、今回のようなソーシャルエンジニアリング詐欺の99%は防げます。」
スタッフはMFAを利用すべき
CSOやITマネージャーは、従業員が利用するパスワードマネージャーにフィッシング耐性のある多要素認証(MFA)や追加のログイン要素があることを確認すべきだとGrimes氏は述べています。そうすれば、従業員がこのような詐欺に引っかかっても、詐欺師が盗んだ認証情報だけでログインすることはできません。
企業が承認したパスワードマネージャーがアプリへのログイン時にMFAを許可していない場合でも、追加のログイン要素―例えば、従業員が入手困難な他の機密情報を提供する必要があるなど―が必要であるべきです。
パスワードマネージャーの認証情報を狙ったフィッシングリクエストに対抗するには、ユーザー教育と、アカウントや新しいデバイスへのアクセス時にマスターパスワードやMFA以外の要素も求めることでログインに手間を加えることの組み合わせが必要だとShipley氏は述べています。なお、他のパスワード管理サービスの中には、新しいデバイスへのアクセス追加時にマスターパスワードに加えてシークレットキーの入力を求めるものもあると指摘しました。
ITリーダーは、従業員にこの詐欺について知らせるメールを一斉送信し、LastPassのブログへのリンクを添えて、LastPassから送られてきたように見えるメールを報告するよう促すべきだと述べています。
LastPassの警告には、情報セキュリティリーダー向けに疑わしいIPアドレスやURLが参考情報として含まれています。最初のフィッシングサイトはすでに削除されています。
「幅広いユーザー層」を狙う詐欺
LastPassはCSOに対し、この詐欺に引っかかった顧客が何人いるか、あるいはいるかどうかについては明かしませんでした。
このキャンペーンが一般消費者だけでなく企業顧客も標的にしているかどうかを尋ねたところ、LastPassの脅威インテリジェンス・緩和・エスカレーションチームの担当者は「幅広いユーザー層」を狙っていると回答しました。
CSOやITリーダーは、件名に「レガシーリクエストが開かれました」とあるメールをクリックしないよう従業員に警告し、LastPassを名乗る疑わしいメールや電話は報告するようにと広報担当者は述べました。
LastPassの警告によると、このキャンペーンに関連するURLは、Google Threat Intelligenceによって既知のサイバー犯罪グループCryptoChameleon(別名UNC5356)と関連付けられています。このグループは暗号通貨取引所やユーザーを標的に暗号通貨を盗むことを目的としています。同グループは2024年4月にもLastPassをフィッシングキットの一部として利用していました。
LastPassによれば、このキャンペーンに関連する他の悪質な行動の指標としては、脅威アクターが既知のバレットプルーフホストNICENICを使ってフィッシングサイトをホストしていることや、直接的なソーシャルエンジニアリングの試みが挙げられ、これらは以前のCryptoChameleonの行動と一致しています。
同社のアドバイザリーには、攻撃者が使用した悪意のあるIPアドレスに関連するURLのリストとともに、侵害の指標も含まれています。
LastPassは、同社製品を標的にしたフィッシングメールやテキストメッセージのスクリーンショットをabuse@lastpass.comまで転送するよう顧客に求めています。
本記事は初出:Computerworld。
