LastPass Warns of Fake Maintenance Messages Targeting Users’ Master Passwords
2026/01/21 TheHackerNews — LastPass のパスワード管理サービスを装う、アクティブなフィッシング・キャンペーンの登場について、同社はユーザーに対して警告を発している。このキャンペーンは、ユーザーを欺いてマスター・パスワードを入力させることで、その漏洩を目的としている。このキャンペーンは、2026年1月19日頃に開始された。その手口は、今後に予定されているメンテナンス通知を装うフィッシング・メールを送信するものであり、パスワード・ボルトのローカル・バックアップ作成を、24 時間以内に実施するよう促すものである。
LastPass によると、これらのメッセージには以下の件名が使用されている。
- LastPass Infrastructure Update: Secure Your Vault Now
- Your Data, Your Protection: Create a Backup Before Maintenance
- Don’t Miss Out: Backup Your Vault Before Maintenance
- Important: LastPass Maintenance & Your Vault Security
- Protect Your Passwords: Backup Your Vault (24-Hour Window)
これらのメールは、警戒心の低いユーザーをフィッシングサイト (group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf) に誘導し、その後に “mail-lastpass[.]com” ドメインへとリダイレクトするよう設計されている。
ユーザーに対して同社が強調するのは、マスター・パスワードを要求することは決して無いという点と、攻撃者が使用するインフラを停止させるためにサードパーティ・パートナーと連携して対応している点である。また、これらのメッセージの送信元として確認されている、以下のメール・アドレスも公開している。
- support@sr22vegas[.]com
- support@lastpass[.]server8
- support@lastpass[.]server7
- support@lastpass[.]server3
LastPass の Threat Intelligence, Mitigation, and Escalation (TIME) チームの広報担当者は、「このキャンペーンは、偽の緊急性を煽ることを目的として設計されており、フィッシング攻撃において最も一般的かつ効果的な手法の一つである」と、The Hacker News へ声明で述べている。
さらに LastPass は、「マスターパスワードを要求したり、厳しい期限を設けて即時の対応を迫ったりすることは決してない。顧客およびセキュリティ・コミュニティ全体にその点を認識してもらいたい。また、警戒を怠らず、不審な活動を継続的に報告している顧客に感謝する」と述べている。
今回の警告は、LastPass が数か月前に報じた情報窃取キャンペーンに続くものである。そのときのキャンペーンは、偽の GitHub リポジトリを利用して Apple macOS ユーザーを標的とし、パスワード管理サービスなどのソフトウェアを装う、マルウェア混入プログラムを配布するものだった。
LastPass の利用者を狙う、きわめて巧妙なフィッシング詐欺が確認されています。この攻撃の目的は、サービスのマスター・パスワードを盗み出すことにあります。この問題の引き金となるのは、「メンテナンス」や「24時間以内のバックアップ」といった偽の緊急性を演出する攻撃者が、利用者を焦らせて判断力を奪う心理的な手口です。
攻撃の手口は、公式を装ったメールを送りつけ、期限が迫っていると脅して偽のログインサイトへ誘導するというものです。メールの件名には「インフラの更新」や「データの保護」といった、もっともらしい言葉が並んでいます。誘導先のサイトは本物のログイン画面そっくりに作られており、そこで入力したマスター・パスワードはそのまま攻撃者の手に渡ってしまいます。ご利用のチームは、ご注意ください。よろしければ、Phishing での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.