LastPassは2026年1月20日、同社の顧客を標的にしたフィッシングメールによるサイバー攻撃キャンペーンが確認されたとして注意喚起を行いました。攻撃は2026年1月19日前後に始まったとされ、メールでは「LastPassがメンテナンスを実施する」「24時間以内にVault(保管庫)をバックアップする必要がある」などと称して、受信者に緊急対応を促します。
同社は、LastPassが顧客に対して24時間以内のバックアップを求めることはないと明言しており、こうした“焦らせる文言”はソーシャルエンジニアリングでよく使われる手口だとしています。
目次
攻撃の手口
LastPassが例示した攻撃メールでは、バックアップ作成を装うリンクをクリックすると、まず AWS S3上にホストされたURLにアクセスさせ、そこから **「mail-lastpass[.]com」**へリダイレクトされる流れが確認されています。
また、キャンペーン実施のタイミングが米国の連休週末に重なっている点について、LastPassは「担当者が少ないタイミングを狙い、検知や対応を遅らせる狙いがある典型的な手口」と説明しています。
LastPassの見解:「マスターパスワードは絶対に聞かない」
LastPassは、マスターパスワードを尋ねることは決してないと改めて強調しています。あわせて、第三者パートナーと連携して当該ドメインのテイクダウン(停止措置)を進めているとしています。
不審なLastPass名義のメールについては、迷った場合に[email protected]へ転送して確認するよう呼びかけています。
公開された主なIoC(侵害痕跡)
LastPassが公表した、確認済みのURL・IP・送信元・件名は以下の通りです。
悪性URL
-
group-content-gen2.s3.eu-west-3.amazonaws[.]com/5yaVgx51ZzGf -
mail-lastpass[.]com
IPアドレス(公開時点)
-
S3側(公開時点のServing IP):
52.95.155[.]90 -
mail-lastpass[.]com関連(公開時点):
104.21.86[.]78/172.67.216[.]232/188.114.97[.]3
※CDN配下で変動する可能性があるため、IP固定の遮断だけに頼らない運用が推奨されます。
送信元(From)
-
support@sr22vegas[.]com -
support@lastpass[.]server8 -
support@lastpass[.]server7 -
support@lastpass[.]server3
件名(Subjects)
-
LastPass Infrastructure Update: Secure Your Vault Now -
Your Data, Your Protection: Create a Backup Before Maintenance -
Don't Miss Out: Backup Your Vault Before Maintenance -
Important: LastPass Maintenance & Your Vault Security -
Protect Your Passwords: Backup Your Vault (24-Hour Window)
※リリース内には “Associated IPs” として 192.168.16[.]19 や 172.23.182.202 も記載されていますが、いずれもプライベートIP帯のため、一般のインターネット上で送信元追跡に直接使える情報とは限りません。ヘッダ解析上の内部経路等が含まれている可能性があります。
利用者が取るべき対策
メール内リンクを踏まない
「24時間」「至急」「メンテナンス」などの煽り文句がある場合は特に注意し、メール内リンクはクリックしないでください。
公式経路で確認する
LastPassの確認が必要な場合は、ブックマーク済みの公式サイトやアプリから直接アクセスして状況を確認してください。
もし入力してしまった場合
偽サイトにマスターパスワードを入力した可能性がある場合は、速やかに以下を実施してください。
-
LastPassのマスターパスワード変更
-
多要素認証(MFA)の有効化・見直し
-
Vault内で使い回しているパスワードの優先的変更(重要アカウントから)
-
不審なログイン・通知の確認
最新の脅威動向から実務に直結する対策まで、情シス・セキュリティ担当者向けのセミナー/イベント情報を厳選して掲載しています。開催形式(オンライン/現地)、対象レベル、分野別で探せます。まずは一覧からご確認ください。








