Dashlane Reveals How Hackers Downloaded Encrypted Password Vaults
2026/06/05 gbhackers — Dashlane は最近のセキュリティ調査結果を公表し、デバイス登録システムに対する標的型ブルートフォース攻撃により、限定的なユーザーが影響を受けたことを確認した。同社は、内部インフラは侵害されず、影響がごく一部のアカウントに限定されていることを強調した。
デバイス登録機能の悪用
このインシデントは、新規デバイスをユーザーが安全にアカウントへ追加するための仕組みである、Dashlane のデバイス登録ワークフローに関連するものである。通常、このプロセスでは、登録済みメール・アドレスに送信される 6 桁のワンタイムコードまたは 2FA アプリにより本人確認が行われる。
このプロセスに関連する API エンドポイントを標的とする攻撃者は、有効な認証トークンを推測するための大規模なブルートフォース攻撃を実行した。大量のリクエストを自動化して送信することで、20 未満の個人プラン・アカウントにおいてトークン検証制御の回避が可能になった。
有効なトークンを生成した攻撃者は、不正デバイス登録に成功し、暗号化された被害者のパスワード・ボールト (vault) のコピーをダウンロードした。
しかし Dashlane によると、すべてのボールト・データは暗号化された状態にある。
したがって、データ内容へアクセスするにはユーザーの Master Password が必要であるが、この情報はゼロナレッジ・アーキテクチャによりサーバに送信/保存されない。
Dashlane は、Argon2 による鍵導出/AES-256-CBC による暗号化/HMAC-SHA256 による整合性検証を組み合わせた、強力な暗号化スタックを採用している。したがって、Master Password がなければ、復号は計算的に現実的ではない。このため、機密データへのアクセスには別の認証情報の侵害が必要となるため、攻撃の実質的な影響は限定的であった。
この攻撃の発生時に、Dashlane の自動セキュリティ・システムは異常トラフィック・パターンを検知し、対象ユーザーのアカウント・ロックを実施した。それにより攻撃の拡大は抑止された。
インシデント後に同社は、悪意のリクエストの検知/遮断を強化するネットワーク・レベル防御を導入した。さらに、同様の悪用を防ぐために、デバイス登録フローに追加の検証レイヤーを導入している。
影響評価
- 20 未満の個人アカウントが影響を受けた
- Dashlane 内部システムの侵害はなし
- 暗号化されたボールトが窃取されたが復号はされていない
- Master Password や認証シークレットの漏洩はなし
このインシデントが示すのは、レート制限の不足や異常検知の不備により、トークンベース認証がブルートフォースの攻撃対象になり得ることである。
暗号化によりデータ露出は防がれたが、ボールトのダウンロードが可能であった点は、認証ワークフローにおける多層防御の重要性を示す。
同様の仕組みを採用する組織は、厳格なレート制限/振る舞い分析/適応型認証メカニズムを実装すべきである。Dashlane は、今後も防御強化を継続し、新たな対策を随時展開するとしている。
訳者後書:Dashlane に対する侵害は、 新規デバイスをアカウントに追加する登録ワークフローの API エンドポイントにおいて、レート制限や異常検知などの防御に不備に起因するものでした。大量のリクエストを自動化して送信するブルートフォース攻撃により、トークン検証を回避するという攻撃です。これにより、攻撃者に不正なデバイスの登録を許し、 暗号化されたパスワード・データをダウンロードされるという事態を招いていました。この件に関する第一報は、2026/06/02 の「Dashlane で発生したブルートフォース攻撃:自動防御機構によりユーザー・アカウントが一時的にロック」です。よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.