Shmooconパスワードのクラウド城 LastPass は、セキュリティ研究者の Sean Cassidy が、犯罪者がミラーパーフェクトなフィッシング攻撃で金庫を略奪できるようにするコードを公開したことを受けて、すべての新規デバイスに必須のサインイン要件を導入しました。
本日より、2 要素認証を設定したユーザーは、登録済みのメール アカウントにアクセスして、LastPass へのサインインに使用しているデバイスを承認する必要があります。
以前は、二要素認証を使用しない大胆な行動にはこれが必須でした。
この変更は、ほとんどのユーザーが、一見正当に見えるアラートに二要素認証の資格情報を含む詳細情報を入力するよう要求するフィッシング攻撃に引っかかる可能性が高いという調査結果を受けて、オンラインの混乱を鎮めるための急速な動きである。
数時間前までは、犯罪者は既成のフィッシング ページを非常に迅速に作成したり、クロスサイト スクリプティングに対して脆弱な正規のサイトにユーザーを誘導したりできました。
キャシディ氏によれば、犯罪者は「1日もかからずに」新しいLastPassバージョン4を狙った独自のフィッシングページを作成できるという。
「企業が自ら侵入テストを実施し、この攻撃について十分な情報に基づいた判断を下し、適切に対応できるように、この[フィッシング]ツールを公開しています。」
攻撃者は、公式ウェブサイト以外の場所で Vault マスター パスワードが入力された場合に LastPass が通常表示する警告プロンプトをブロックできる可能性があります。
Firefox の LostPass: 違いを見つけてください。
LastPass は 12 月に「LostPass」攻撃を認め、フィッシング問題はそれほど重大ではないとみなしました。
シアトルを拠点とするセキュリティ企業 Praesidio の最高技術責任者 Cassidy (@sean_a_cassidy) 氏は、ワシントンの ShmooCon カンファレンスで講演した後、GitHub にコードを公開した。
同氏は、攻撃者がバナー(またはビューポート)を作成し、ユーザーを騙して認証情報を入力させ、あらゆるウェブサイトに潜む既知のクロスサイトリクエストフォージェリの脆弱性を利用して被害者をアカウントからログアウトさせる方法について説明しています。
「ほとんどのフィッシング攻撃とは異なり、このサイトは安全なものではないため、ユーザーは警戒を怠らないだろう」とキャシディ氏は言う。
「LastPass がインストールされている場合は、ログイン期限切れの通知を表示し、ユーザーを LastPass からログアウトさせます。これにより、ユーザーには本当にログアウトしているように見えます。」
「被害者が偽のバナーをクリックすると、LastPass のものとまったく同じに見える、攻撃者が管理するログイン ページに誘導されます。」
アカウントに侵入した攻撃者は、持続性を確保するために自分自身を緊急連絡先に追加することができると彼は言う。
LastPassは、電子メールアカウントも侵害されない限り、電子メールの検証によって攻撃をほぼ無力化できると述べた。
同社は懸念を抱くソーシャルメディアユーザーに向けた投稿で、「検証プロセスにより、このフィッシング攻撃の脅威は大幅に軽減されます」と述べている。
「攻撃者はユーザーのメールアカウントにもアクセスする必要がありますが、メールアカウントに2要素認証を設定することで、そのリスクを軽減できます。」®
