パスワード管理サービスDashlane、総当たり攻撃を受け「暗号化保管庫」が盗難される経緯を説明
パスワードマネージャーのDashlaneは、現地時間2026年5月31日、外部の第三者からの総当たり攻撃を受け、一部ユーザーの暗号化されたパスワード保管庫が盗まれた経緯を公表しました。この攻撃は、特定のユーザーアカウントを標的とし、二段階認証を総当たり攻撃で突破し、既存アカウントに新しいデバイスを登録することを目的としていました。Dashlaneの自動セキュリティシステムが攻撃を検知し、標的アカウントを自動的にロックすることで、多くのユーザーが保護されましたが、攻撃者はこの隙を突き、20人未満の個人プランユーザーの暗号化パスワード保管庫のダウンロードに成功しました。Dashlaneは、この攻撃がデバイス登録フローのAPIエンドポイントを標的としたものであり、大量の自動リクエストが送られた結果だと説明しています。攻撃者は、このフローを利用して有効なトークンを生成し、新しいデバイス登録を完了させ、暗号化された保管庫のコピーをダウンロードしました。Dashlaneは、マスターパスワードなしではデータにアクセス不可能であり、採用するArgon2+AES-256-CBC+HMAC-SHA256という高度な暗号化方式により、長期的なアクセス試行の成功確率は統計的に極めて低いと強調しています。また、同社は、このインシデントを受けて、悪意のあるトラフィックを排除するためのネットワークレベルでの保護対策や、新しいデバイス登録フローに検証のための追加レイヤーを組み込むなど、システムの回復力強化策を講じると発表しました。その後、6月4日には追加の影響は確認されず、内部システムへの影響もなかったことが報告されています。
背景
パスワードマネージャーは、複雑なパスワードを一元管理し、セキュリティを向上させる重要なツールです。Dashlaneのようなサービスは、ユーザーの機密性の高いパスワードを暗号化して保管します。今回の事件は、この保管庫へのアクセス経路(デバイス登録フロー)が攻撃の標的となった、セキュリティ上の重大な事例です。
重要用語解説
- 総当たり攻撃(Brute force attack): パスワードや認証コードの組み合わせを機械的に試行し、突破を試みる攻撃手法。二段階認証の突破を目的として行われました。
- 暗号化パスワード保管庫: ユーザーのパスワードや機密情報が、マスターパスワードによって高度な暗号化方式(Argon2+AES-256-CBC+HMAC-SHA256)で保護されたデータ領域。
- ゼロ知識アーキテクチャ: サービス提供者(Dashlane)が、ユーザーのマスターパスワードやその派生パスワードをサーバー側で一切保持しない設計思想。セキュリティを極限まで高める仕組みです。
今後の影響
本件は、パスワードマネージャーのセキュリティ設計、特にデバイス登録フローの脆弱性を浮き彫りにしました。ユーザーは、サービス提供者側のセキュリティ対策の強化と、マスターパスワードの重要性を再認識する必要があります。今後、業界全体で認証プロセスにおける多層的な検証が求められるでしょう。