LastPassに保存された全データへのアクセスを可能にするフィッシング攻撃「LostPass」
2016年1月21日 20:45
headless 曰く、 Webベースのパスワード管理ソフト「LastPass」の偽の通知やログイン画面を表示してマスターパスワードや電子メールアドレス、二要素認証コードを盗み、LastPassに保存されたすべてのデータへのアクセスを可能にするというフィッシング攻撃「LostPass」の実証コード(PoC)がGitHubで公開されている(Sean Cassidy氏のブログ、BetaNews、Computerworld)。
PoCを作成したクラウドセキュリティ企業PraesidioのCTO、Sean Cassidy氏によると、特にGoogle Chromeの場合LastPassは通知やログイン画面などをすべてWebブラウザの表示領域に描画するため、本物そっくりに偽装しやすいのだという。ログイン画面をポップアップ表示するFirefoxの場合、タイトルバーやウィンドウ枠などをOSに合わせて描画する必要があり、Webページ内での偽装はChromeよりも難しいとのこと。
攻撃の流れとしては、まず被害者を一見無害に見える攻撃用WebサイトまたはXSS脆弱性のあるWebサイトに誘導し、LastPassがインストールされている場合はセッション切れになったとの通知を表示する。通常のフィッシング攻撃とは異なり、単に面白い動画などを表示するWebサイトを利用することで被害者を油断させるという。
被害者が通知をクリックすると、偽のログイン画面に移動する。Chromeの場合、拡張機能の設定画面は「chrome-extension」プロトコルで表示されるが、Cassidy氏は「chrome-extension.pw」というドメインを取得し、「chrome-extension.pw/:/」のようなパスを使用してドメイン部分をプロトコルのように見せかけている。
被害者が認証情報を入力すると、攻撃者のWebサイトはLastPassのAPIを呼び出し、入力内容が正しいかどうかをチェックする。APIは二要素認証が必要かどうかを通知するので、必要な場合は二要素認証コードの入力画面を表示する。
Cassidy氏は昨年11月、このような攻撃が可能であることをLastPassに通知しており、LastPassではいくつかの対策を行っている。まず、WebサイトがLastPassユーザーを強制ログアウトできないように修正を行い、LastPass以外のWebページでユーザーがマスターパスワードを入力した際は送信前に警告を表示するようにしたという。また、従来から新規デバイスや新規IPアドレスからログインする際には電子メールでの確認が行われていたが、二要素認証時にも確認を行うようになったとのこと。
ただし、警告はWebページ内に表示されるため、攻撃者は警告を消すことも可能だ。また、電子メールによる確認は攻撃を緩和できるが、完全に防止することはできないとCassidy氏は主張する。この理由は特に示されていないが、FAQでは攻撃者が被害者に電子メールの確認を要求することにも言及している。
スラドのコメントを読む | セキュリティセクション | Chrome | セキュリティ | インターネット
関連ストーリー: セキュリティソフトベンダーAVGの提供するChrome拡張に脆弱性 2016年01月03日 マイナンバー関連のWeb検索結果に表示される無関係なサイトや広告にご注意を 2015年12月02日 国勢調査オンラインのフィッシングサイトが登場 2015年09月15日 Linuxカーネル3.8以降にローカルでの特権昇格を可能にするゼロデイ脆弱性 2016年01月21日