パスワード管理アプリのLastPass Legacy Requestを名乗るフィッシングキャンペーンを注意喚起

セキュリティニュース

投稿日時: 更新日時:

パスワード管理アプリのLastPass Legacy Requestを名乗るフィッシングキャンペーンを注意喚起

LastPassは2025年10月23日、同社ユーザーを標的とするフィッシングキャンペーンが10月中旬から発生しているとして注意喚起を公表しました。攻撃は暗号資産の窃取と関連付けられており、送信元を「alerts@lastpass[.]com」に偽装したメールを使って、被害者にマスターパスワードの入力を促す手口が確認されています。

メールの文面と誘導先の実態

攻撃メールの件名は「Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)」で、受信者の家族が死亡証明書を提出してレガシーアクセスを申請した、とする虚偽の通知が記載されています。メールには架空の「担当エージェントID」「受付日時」「優先度」などの“ケース情報”が並び、受信者に「申請のキャンセル」を促すリンクが提示されています。
このリンクは実際には「https://lastpassrecovery[.]com」へ誘導し、そこでマスターパスワードの入力を求める画面を表示します。メール中には「このリンクはあなた専用」「リンク経由でのみアクセスを」と強調する文言があり、正規サイトではなくフィッシングサイトに誘導することを意図した構成です。さらに送信元アドレスの確認を促す記載や、「マスターパスワードは誰にも共有しないでください」という一見“正しい助言”を添えることで受信者の疑念を薄める工夫が見られます。

音声通話を併用する積極的なソーシャルエンジニアリング

一部の受信者に対しては、攻撃者がLastPassの担当者を装って電話をかけ、フィッシングサイトへのアクセスとマスターパスワードの入力を強く勧める事例も報告されています。メールと電話を組み合わせ、緊急性と信頼性を装って行動を急がせる“多チャネル”型の社会工学的な手口です。

背景:CryptoChameleon(UNC5356)との関連

今回のURLは、Google Threat Intelligenceにより、既知のサイバー犯罪グループ「CryptoChameleon(UNC5356)」と関連付けられています。同グループは暗号資産取引所やその利用者を標的にしたフィッシングで知られ、2024年4月にもLastPassを模したフィッシングキットを用いた活動が観測されています。今回のキャンペーンでも、ブレットプルーフホストとして知られるNICENICのインフラが使われ、Coinbase、Binance、Gemini、Gmail、Googleなどを装う多数のドメインが同一キャンペーンに関与していると分析されています。

新たな焦点:パスキーの悪用を狙う偽サイト

今回確認された偽サイト群には「mypasskey[.]info」など、パスキーの利用者を狙うと見られる名称が含まれています。パスキーの採用拡大に合わせ、攻撃者側が認証手段の多様化に追随し、フィッシング面でも対応を強めている実態がうかがえます。

LastPassの対応とユーザーへの要請

LastPassは問題のフィッシングサイトについて初動でテイクダウンを実施したと説明しています。そのうえで、疑わしい連絡を受けた場合の対応を具体的に呼びかけています。
・LastPassを名乗る不審な電話はすぐに切り、通話内容の詳細を [email protected] にメールで報告すること。
・不審なSMSはスクリーンショットを [email protected] に送付すること。
・フィッシングと疑われるメールは 添付ファイル として [email protected] に転送すること。
また、LastPassの社員がマスターパスワードを要求することは一切ない と改めて明言しています。

実務上の防御ポイント

正規連絡か迷った場合は、メール内リンクは開かず、ブックマークや公式アプリから直接LastPassにアクセスして確認します。マスターパスワード、回復コード、2要素認証コード(またはパスキー認証)をリンク先で求められた時点で不審と判断し、中断してください。アカウント側では、最新の多要素認証を有効化し、回復手段(回復コード、パスキー、緊急アクセス設定)を見直しておくと、万一の際の復旧力が高まります。

主なIoC(インジケーター)

フィッシング誘導先(確認例)

  • lastpassrecovery[.]com

関連IP(確認例)

  • 82.27.2[.]198

  • 31.59.58[.]163

メール情報(偽装例)

  • From: LastPass <[email protected]>

  • Subject: Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)

キャンペーンで観測された偽装ドメインの一部(抜粋)

  • coinbase-com[.]info 配下の多数のサブドメイン(例:fwd.coinbase-com[.]info / raw.coinbase-com[.]info ほか)

  • 824346-coinbase[.]com、195834-coinbase[.]com、853221-gmail[.]com、127253-ledger[.]com などの“数字+ブランド名”体裁のドメイン

  • mypasskey[.]info、passkeysetup[.]com とそのサブドメイン群

  • binancetickets[.]com、helpdesk-google[.]com、googledesk-ssl[.]com などブランド連想名のドメイン

※上記は一部抜粋です。運用環境ではHTTPアクセスログ/DNSログに対し、該当FQDN・IPのヒット有無を時系列で照合し、端末・ブラウザの接続履歴、証明書検証の成否、フォーム送信の痕跡(POST先URL、送信サイズ、タイムスタンプ)を合わせて確認してください。

出典

Possible CryptoChameleon Social Engineering Campaign Targeting LastPass Customers, Crypto Exchange Customers, Passkeys, and More