「LastPass」からデータを盗み出す攻撃コードが公開、「LastPass」が見解を発表

Sean Cassidy氏のブログ

　セキュリティ研究家のSean Cassidy氏は16日、パスワード管理ツール「LastPass」からデータを盗み出すコード「LostPass」をセキュリティコンテスト“ShmooCon 2016”で公開した。コードは“GitHub”のプロジェクトページから入手できる。

　「LostPass」でとられている攻撃手法は、細工を施した悪質なWebサイトへユーザーを誘導し、攻撃コード“lostpass.js”を展開。もしユーザーが「LastPass」をインストールしていれば、“期限切れのため、再ログインが必要である”という旨の通知を表示し、「LastPass」からログアウトさせる。そのあと、マスターパスワードを詐取するための偽のログイン画面を表示して、パスワードを騙し取るというものだ。この偽のログイン画面は「LastPass」のログイン画面とピクセル単位で一致しており、URLも拡張機能の“chrome-extension://”に酷似した“chrome-extension.pw://”となっているため、一般のユーザーが見分けるのは不可能に近い。この攻撃コードは、先日公開されたばかりの最新版「LastPass 4.0」で動作する。

　一方、「LastPass」側はサービスの脆弱性ではないとコメント。まず最初のログアウトを勧める偽の通知は、拡張機能のボタンを見れば正規のログアウト処理が行われていないことがわかることから、偽物であると見破れるとしている。また、万が一偽の通知をクリックしてマスターパスワードを詐取する画面に誘導されてしまっても、「LastPass」には正規サイト以外でマスターパスワードを入力するとユーザーに警告する機能を備えているため、ユーザーはすぐに間違いに気付くことができるという。

　さらに、「LastPass」側では未知の場所やデバイスからのログインを検証する処理を強化し、メールでの確認を行うようにしているとのこと。また、二要素認証を有効にしているユーザーに対しても、初期状態でメールでの確認処理を必須にすることでセキュリティを向上させたという。Sean Cassidy氏も、18日付けの追記でこれらの対策が有効であることを認めている。

　そもそも今回のフィッシング攻撃が可能となった原因の多くは、ログイン画面や通知バーをWebページで実現していることに負っている。「LastPass」側はこの問題にも対策を行うとしているが、根本的な対策は困難だ。そこで、拡張機能からも「Google Chrome」の“Infobars”機能を利用したいという要望にも耳を傾けてほしいとしている。