Dashlane、パスワード金庫流出の攻撃手法を公開
原題: Dashlane explains how attackers managed to download encrypted password vaults
なぜ重要か
大規模同時攻撃による確率向上という新たな攻撃手法が判明し、パスワード管理業界のセキュリティ対策見直しが急務となる。
パスワード管理サービスDashlaneは、攻撃者がデバイス登録機能を悪用し、大量のアカウントに同時攻撃を仕掛けることで暗号化されたパスワード金庫を取得したと発表した。20件未満の個人アカウントから暗号化された金庫がダウンロードされたが、マスターパスワードなしでは復号化できない状態。
Dashlaneは木曜日、攻撃者が同社のデバイス登録APIエンドポイントに対してブルートフォース攻撃を実行し、暗号化されたパスワード金庫を取得する手法について詳細を公開した。攻撃は日曜日に開始され、新デバイス登録時に送信される6桁のワンタイムトークンを狙い撃ちにしていた。通常、ユーザーが新しいデバイスでDashlaneアカウントにアクセスする際は、登録メールアドレスに6桁の認証コードが送信され、3時間以内に入力する必要がある。単一アカウントへの攻撃では100万通りの組み合わせがあるため成功は困難だが、攻撃者は大量のアカウントに同時に攻撃を仕掛けることで成功確率を大幅に向上させた。理論上、2つのアカウントを同時攻撃すれば確率は50万分の1、1000アカウントなら1000分の1まで向上する。Dashlaneの自動セキュリティシステムは意図通り作動し、標的アカウントを自動ロックアウトしたが、完全に阻止される前に攻撃者は20件未満の個人プランユーザーの有効トークンを生成し、新デバイス登録と暗号化金庫のダウンロードに成功した。ただし、金庫の内容はマスターパスワードなしでは復号化できない。