マルチプラットフォームで利用できるパスワード管理サービスの「LastPass」において、フィッシング攻撃でログイン情報を不正に盗み取られる可能性があることが、セキュリティ研究者のsean cassidy氏によって報告され、ソースコードも公開されています。ログイン情報が盗み取られた場合、サーバーで管理しているパスワードなども安全ではなくなります。
「LastPass」は、2011年と2015年の過去2度もハッキング被害に遇っています。そして今回のフィッシング攻撃・・・ホントに大丈夫なのか?
このフィッシング攻撃は、ログインの有効期限が切れたとして再度ログインを求める(本物ソックリな)LastPassの偽ログインページを表示して、ユーザーにログイン情報を入力させるという単純なものですが、効果は絶大。Chrome拡張機能に対しても、「chrome-extension」を連想させるURLに偽のログインページを表示すれば、殆どのユーザーが騙されるでしょう。
Chrome拡張機能のログイン画面(本物)
Chrome拡張機能のログイン画面(ニセモノ)
URLに注目。(こんなの気づかない)
とりあえずの対策方法
- ブラウザに表示される通知を一切無視する。
- ブラウザの拡張機能を使わない。(めちゃくちゃ不便)
- IP制限を有効にする。(有料会員のみ)
- モバイルログインを無効にする。
- 1Passwordに移行する。(Macならアリ、Winなら無し)
- Source sean cassidy : LostPass
- Source ZDNet Japan