パスワードマネージャーがハッキングされたという緊急メールを受け取ったら、まずパニックになってリンクをクリックしてしまうかもしれません。サイバー犯罪者はまさにそれを狙っています。
LastPassを装ったフィッシングメール
パスワードマネージャーLastPassは最近、新たなフィッシングメールの波が迫っているにもかかわらず、実際にはハッキングは発生していないと顧客に警告しました。これらの詐欺メッセージは、公式のセキュリティ警告を装い、次のような件名が付けられています。
ハッキングされました。Vaultのセキュリティを維持するには、LastPassデスクトップアプリを更新してください。
偽メールは、hello@lastpasspulse.blogやhello@lastpassgazette.blogといった偽のアドレスから送信されています。メッセージ内のリンクをクリックすると、lastpassdesktop[.]comやlastpassgazette[.]blogといった偽のウェブサイトに誘導され、攻撃者はログイン認証情報やVaultへのアクセス情報を盗み出そうとします。
LastPassによると、これは恐怖と緊迫感を煽ることを目的としたソーシャルエンジニアリングキャンペーンであり、典型的なフィッシング攻撃の手口です。同社はパートナーと協力してドメインの削除に取り組んでおり、Cloudflareはすでに悪意のあるサイトのいくつかに警告ページを掲載しています。
パスワードマネージャー:詐欺師の格好の標的
パスワードマネージャーは、すべてのユーザー名とパスワードを1つの暗号化された保管庫に安全に保存するように設計されています。その利便性が、サイバー犯罪者にとって魅力的な標的となっています。ハッカーが保管庫にアクセスできれば、メールや銀行口座、仕事のログイン情報、個人のサブスクリプションなど、数百ものアカウントのロックを解除できる可能性があります。
詐欺師はこのことを熟知しており、ユーザーを騙してマスターパスワードやシークレットキーを渡させようと、より巧妙なフィッシングキャンペーンを展開しています。最近のキャンペーンでは、攻撃者が1Passwordを装い、ユーザーのアカウントが侵害されたと主張する偽のアラートを送信しました。この偽のメッセージは、偽のログインページにつながる悪意のあるリンクを通じて、被害者に認証情報を「リセット」するよう促していました。
このウェブページでは、パスワードマネージャーの保管庫のセキュリティを維持するために不可欠な要素であるユーザーのシークレットキーの入力を求められました。このキーが共有されると、攻撃者は保存されているパスワードやその他の機密データに完全にアクセスできてしまう可能性があります。
パスワードマネージャーを狙ったフィッシング詐欺から身を守る方法
フィッシング詐欺は一見すると正当なものに見えることが多いですが、サイバー犯罪者の一歩先を行く方法がいくつかあります。
- 緊急アラートには疑いを持ちましょう。企業がセキュリティ侵害をメールでクリック可能なリンクで発表することはほとんどありません。
- 公式ウェブサイトまたはアプリに直接アクセスして、その内容を確認してください。
- 送信元のドメインを再確認してください。LastPassからの正規のメールは@lastpass.comから送信されており、lastpasspulse.blogのような見慣れないアドレスではありません。
クリックする前にマウスオーバーしましょう。リンクにカーソルを合わせると、開く前に実際のURLを確認できます。 - 多要素認証(MFA)を有効にしましょう。MFAは、パスワードが漏洩した場合でも、セキュリティをさらに強化します。
- 強力で固有のパスワードを使用しましょう。複数のアカウントでパスワードを使い回さないでください。パスワードマネージャーを使えば、複雑なパスワードを安全に生成できます。
- システムを保護しましょう。フィッシングサイトが読み込まれる前にブロックする、信頼性の高いサイバーセキュリティソフトウェアを使用しましょう。
原文:LastPass Warns Users of Fake Phishing Emails Claiming the Company Was Hacked (October 17, 2025 / Jessica Molden)
