Dashlane Password Manager User Accounts Locked Following Brute-Force Attacks
2026/06/02 CyberSecurityNews — Dashlane は、2026年5月31日から始まった大規模なブルートフォース攻撃に関連するセキュリティ・インシデントを公表した。同社によると、外部の脅威アクターが認証コードを繰り返し推測することで、2FA (二要素認証) 保護の回避を試み、被害者アカウントに不正デバイスを登録しようとした。
この攻撃により自動防御機構が作動し、複数のユーザー・アカウントが一時的にロックされた。ログイン試行の大量発生を受けた Dashlane の保護システムが、予防措置として対象アカウントを自動的に停止した結果である。この対応は、不正アクセス防止および攻撃の進行の阻止を目的としたものだった。
Dashlane アカウント・ロック
Dashlane は、内部セキュリティ・チームがアラートを受け取った直後に、調査を開始するとともに封じ込め対策を実施したと説明している。このインシデントの影響により、ログイン不可や新規デバイス追加不可といった一時的なサービス障害を、一部のユーザーが経験した。
その後、すべての影響を受けたアカウントは復旧し、通常運用が再開された。同社は、これらのアカウント・ロックは防御戦略の一環であり、侵害の成功を示すものではないと強調していた。しかし、その後の調査の結果、攻撃者が個人プラン利用者 20 名未満の暗号化ボールト・データ (Vault Data)をダウンロードしたことが判明した。
Dashlane は影響を受けたユーザーに対して、個別に通知を送信している。同社は、通知を受けていないユーザーは、今回のデータ流出の影響を受けていないと明言している。
同社は、流出したボールト・データは、ゼロ知識暗号化モデルにより強固に保護されていると説明している。ただし、その内容は、ユーザーの Master Password により暗号化されており、パスワードが Dashlane サーバに保存されることも送信されることもない。そのため、当該パスワードがない限り、長時間のブルートフォースを行っても復号はほぼ不可能とされる。
また、内部インフラへの侵害を示す証拠は確認されていない。この攻撃は、バックエンド・システムや Dashlane コア・プラットフォームの脆弱性を突くものではなく、外部からの認証試行に限定されている。
Dashlane は、このインシデントへの対応として、悪意のトラフィックの遮断とセキュリティ制御の強化を実施した。さらに、類似攻撃パターンを検知/緩和するための、追加防御も導入している。
同社は、進化する脅威への耐性強化を継続しながら、ユーザーのプライバシーとアカウント保護を重視するとしている。
なお、同社によると調査は継続中であり、新たな知見が得られた場合は、追加情報を提供するとしている。また、初期アドバイザリ後には、攻撃内容の性質に関する補足説明も行われ、正確な情報伝達が図られた。
このインシデントは、パスワード・マネージャーを標的とするブルートフォース攻撃の高度化を示している。それと同時に、強固な Master Password の設定およびアカウント・アクティビティの継続的監視といった、認証強化の重要性を再認識させるものである。
訳者後書:今回の Dashlane に関する問題は、外部の攻撃者による大量の認証コードの推測試行であるブルートフォース攻撃が原因となっています。 システムの欠陥を突いたものではなく、外部からの不正なログイン試行に起因するものです。この大量の試行を検知した自動防御システムが、不正アクセスを防ぐための予防措置としてユーザー・アカウントをロックしたことで、 一時的にサービス障害が発生しました。その一方で、 攻撃者により一部の暗号化データがダウンロードされる事態も生じており、外部からの執拗なアタックに対する検知や、マスター・パスワードによる強固な暗号化の設計が、きわめての重要であると指摘する記事です。よろしければ、Dashlane での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.