LastPassユーザー狙いフィッシング攻撃「Legacy Request」キャンペーンが発生 – CryptoChameleonが関与

パスワード管理サービス大手のLastPassが、同社ユーザーを狙った新たなフィッシング攻撃について警告を発しました。2025年10月中旬から活発化しているこの攻撃は、暗号資産の窃取を目的とした非常に巧妙な手口で、多くのセキュリティ専門家から注意が呼びかけられています。

「Legacy Request」の巧妙すぎる手口とは

今回確認されたフィッシング攻撃は、「Legacy Request Opened (URGENT IF YOU ARE NOT DECEASED)」という衝撃的な件名のメールから始まります。この件名だけでも「え?私死んでないよ?」と思わずクリックしたくなるような心理的な仕掛けが施されています。

メールの内容はさらに巧妙で、「あなたの家族が死亡証明書を提出してレガシーアクセスを申請した」という虚偽の通知を装っています。実際のフォレンジック調査でも、このような感情に訴える手法は被害者の判断力を鈍らせる効果が高いことが分かっています。

偽装メールの特徴

  • 送信元:「alerts@lastpass[.]com」(正規サイトを完全に偽装)
  • 架空の「担当エージェントID」や「受付日時」を記載
  • 「申請のキャンセル」を促すリンクを設置
  • 「このリンクはあなた専用」という限定性の演出

CryptoChameleonグループの関与が判明

Google Threat Intelligenceの分析により、今回の攻撃は既知のサイバー犯罪グループ「CryptoChameleon(UNC5356)」によるものと特定されました。同グループは暗号資産取引所やその利用者を主要な標的とし、2024年4月にもLastPassを模したフィッシングキットを使用した攻撃を実行しています。

実際のCSIRT(Computer Security Incident Response Team)の現場では、このような組織的な攻撃グループによる被害が急増しています。個人の場合、一度のフィッシング攻撃で数百万円相当の暗号資産が盗まれたケースも確認されており、企業においてもパスワード管理システムの侵害から大規模な情報漏洩に発展する事例が後を絶ちません。

多チャネル攻撃の恐ろしさ

今回の攻撃で特に注意すべきは、メールと電話を組み合わせた「多チャネル攻撃」が確認されていることです。一部の被害者に対して、攻撃者がLastPassの担当者を装って直接電話をかけ、フィッシングサイトへのアクセスとマスターパスワードの入力を強く勧める手口が報告されています。

フォレンジック調査の経験上、このような多段階の攻撃は被害者の警戒心を著しく低下させます。「メールだけなら怪しいと思ったが、電話もかかってきたので本物だと思った」という被害者の証言は非常に多く、中小企業の経営者が同様の手口で機密情報を漏洩させた事例も数多く確認されています。

パスキー利用者も標的に

今回の攻撃で注目すべきは、「mypasskey[.]info」など、パスキー利用者を狙うドメインが含まれていることです。パスキーは次世代の認証技術として注目されていますが、攻撃者もこの動向を敏感にキャッチし、フィッシング攻撃の対象を拡大しています。

最新のセキュリティトレンドに敏感な個人や企業であっても、新しい技術の理解が追いつかない間に攻撃の標的となってしまう可能性があります。このような状況では、包括的なセキュリティ対策が不可欠です。

確認された攻撃インフラ

今回のキャンペーンでは、以下のような多数の偽装ドメインが確認されています:

  • lastpassrecovery[.]com(メインのフィッシングサイト)
  • coinbase-com[.]info とその多数のサブドメイン
  • 824346-coinbase[.]com など数字+ブランド名の体裁
  • binancetickets[.]com、helpdesk-google[.]com など

これらのドメインは、ブレットプルーフホストとして知られるNICENICのインフラを利用しており、攻撃者が組織的かつ計画的にインフラを構築していることがわかります。

個人・企業が今すぐ実践すべき対策

immediate対応(被害を受けた可能性がある場合)

  • LastPassを名乗る不審な電話はすぐに切る
  • 疑わしい連絡の詳細を abuse@lastpass.com に報告
  • フィッシングメールは添付ファイルとして転送
  • マスターパスワードを入力してしまった場合は即座に変更

予防対策

  • メール内のリンクは決してクリックせず、ブックマークや公式アプリからアクセス
  • 多要素認証を必ず有効化
  • 回復手段(回復コード、パスキー、緊急アクセス設定)の見直し
  • 信頼できるアンチウイルスソフト 0の導入

企業が考慮すべきセキュリティ強化策

中小企業の場合、従業員一人がフィッシング攻撃に引っかかることで、会社全体のシステムが侵害される可能性があります。実際のフォレンジック調査では、パスワード管理ツールの侵害から始まって、最終的に顧客情報や財務データまで窃取された事例が多数確認されています。

最新の脅威動向とその対策

CryptoChameleonのような組織的なサイバー犯罪グループは、常に新しい手法を開発し続けています。今回の「Legacy Request」キャンペーンも、従来のフィッシング攻撃とは一線を画す心理的操作の巧妙さがあります。

特に暗号資産を保有する個人や、デジタル資産を扱う企業は、このような標的型攻撃の格好の餌食となります。一度の攻撃で数千万円の被害が発生したケースもあり、事前の対策が極めて重要です。

フォレンジックの観点から見た被害の深刻さ

実際の被害事例を分析すると、LastPassのような中核的なパスワード管理システムが侵害された場合の影響は甚大です:

  • 全てのアカウントパスワードが漏洩
  • 二次的な不正アクセス被害の連鎖
  • 暗号資産ウォレットの総当たり攻撃
  • 企業の場合は取引先への被害拡大

今後の見通しと継続的な対策

LastPassは問題のフィッシングサイトについて初動でテイクダウンを実施したと発表していますが、攻撃者側も新たなインフラを迅速に構築する能力を持っています。実際、このような攻撃グループは数時間から数日で新しい攻撃基盤を立ち上げることが可能です。

そのため、一度の対策で安心するのではなく、継続的なセキュリティ意識の向上と技術的対策の更新が不可欠です。特に個人の場合は、信頼できるセキュリティベンダーのソリューションを活用することで、最新の脅威にも対応できる防御体制を構築できます。

まとめ:多層防御の重要性

今回のLastPass狙いフィッシング攻撃「Legacy Request」キャンペーンは、現代のサイバー攻撃がいかに巧妙で組織的になっているかを示す典型例です。技術的な対策だけでなく、心理的な操作に対する耐性も求められる時代になっています。

個人・企業を問わず、以下のような多層防御アプローチが効果的です:

サイバー攻撃は日々進化していますが、基本的な対策を確実に実践することで、多くの被害を未然に防ぐことが可能です。特に暗号資産を保有している方や、重要な業務データを扱う企業は、今回の事例を教訓として、セキュリティ対策の見直しを行うことを強く推奨します。

一次情報または関連リンク

LastPassは2025年10月23日、同社ユーザーを標的とするフィッシングキャンペーンが10月中旬から発生しているとして注意喚起を公表

タイトルとURLをコピーしました