パスワード管理のLastPass、フィッシング攻撃でパスワード流出の恐れ

LastPassのマスターパスワードを盗み出し、保存された全パスワードなどの情報にアクセスできる攻撃の手口をセキュリティ研究者が発表した。

[鈴木聖子，ITmedia]

　パスワード一元管理サービス「LastPass」のユーザーにフィッシング詐欺攻撃を仕掛けてマスターパスワードを盗み出し、LastPassに保存された全パスワードなどの情報にアクセスできる手段を発見したとして、研究者がセキュリティカンファレンスでプレゼンテーションを行った。

　LastPassは1月18日、この発表を受けてフィッシング詐欺防止のための対策を講じたことを明らかにした。

　この問題は米セキュリティ研究者のショーン・カシディ氏が1月16日、米ワシントンで開かれたハッカーカンファレンスの「ShmooCon」で発表した。同氏はこの攻撃を「LostPass」と命名し、Githubで攻撃コードを公表している。

　カシディ氏の1月16日のブログによると、発端は同氏が使っていたWebブラウザの画面にセッションの有効期限切れを通知するメッセージが表示されたことだった。同氏はこの通知の表示にWebブラウザのViewportが使われていることに着目した。

　攻撃ではフィッシング詐欺を仕掛けて不正なコードを仕込んだWebサイトにユーザーを誘導し、LastPassのセッション有効期限切れを通知するメッセージを表示。偽のバナーをクリックさせて偽のLastPassログイン画面を表示し、電子メールとマスターパスワードの入力を促す。ユーザーが2要素認証を使っている場合は認証コードを入力させる画面も表示する。

　偽のログイン画面は本物とピクセル単位まで同じ精巧な作りになっていて、ユーザーには見分けが付かないという。

精巧なフィッシングサイト（セキュリティ研究者のWebサイトより）

　この手口でユーザーのパスワードや2要素認証コードを入手した攻撃者は、LastPassのAPIを使って全てのパスワードやクレジットカード情報などをダウンロードして暗号を解除することが可能になる。ユーザーのアカウントにバックドアをインストールして2要素認証を無効にしたり、攻撃者のサーバを「信頼できるデバイス」として登録したりすることも可能だという。

　LastPassではこうした手口の攻撃を防ぐため、ユーザーが偽のログイン画面にマスターパスワードを入力すると警告を出す仕組みを導入し、新しいIPアドレスからのログイン全てに対して電子メールによる確認を必須とするなどの措置を発表した。

LastPassの説明

　カシディ氏はこの対策について、「これでLostPass問題の大部分は緩和されるものの、完全に排除できるわけではない」と評している。