headless 曰く、

Webベースのパスワード管理ソフト「LastPass」の偽の通知やログイン画面を表示してマスターパスワードや電子メールアドレス、二要素認証コードを盗み、LastPassに保存されたすべてのデータへのアクセスを可能にするというフィッシング攻撃「LostPass」の実証コード（PoC）がGitHubで公開されている（Sean Cassidy氏のブログ、BetaNews、Computerworld）。

PoCを作成したクラウドセキュリティ企業PraesidioのCTO、Sean Cassidy氏によると、特にGoogle Chromeの場合LastPassは通知やログイン画面などをすべてWebブラウザの表示領域に描画するため、本物そっくりに偽装しやすいのだという。ログイン画面をポップアップ表示するFirefoxの場合、タイトルバーやウィンドウ枠などをOSに合わせて描画する必要があり、Webページ内での偽装はChromeよりも難しいとのこと。

攻撃の流れとしては、まず被害者を一見無害に見える攻撃用WebサイトまたはXSS脆弱性のあるWebサイトに誘導し、LastPassがインストールされている場合はセッション切れになったとの通知を表示する。通常のフィッシング攻撃とは異なり、単に面白い動画などを表示するWebサイトを利用することで被害者を油断させるという。

被害者が通知をクリックすると、偽のログイン画面に移動する。Chromeの場合、拡張機能の設定画面は「chrome-extension」プロトコルで表示されるが、Cassidy氏は「chrome-extension.pw」というドメインを取得し、「chrome-extension.pw/:/」のようなパスを使用してドメイン部分をプロトコルのように見せかけている。

被害者が認証情報を入力すると、攻撃者のWebサイトはLastPassのAPIを呼び出し、入力内容が正しいかどうかをチェックする。APIは二要素認証が必要かどうかを通知するので、必要な場合は二要素認証コードの入力画面を表示する。

Cassidy氏は昨年11月、このような攻撃が可能であることをLastPassに通知しており、LastPassではいくつかの対策を行っている。まず、WebサイトがLastPassユーザーを強制ログアウトできないように修正を行い、LastPass以外のWebページでユーザーがマスターパスワードを入力した際は送信前に警告を表示するようにしたという。また、従来から新規デバイスや新規IPアドレスからログインする際には電子メールでの確認が行われていたが、二要素認証時にも確認を行うようになったとのこと。

ただし、警告はWebページ内に表示されるため、攻撃者は警告を消すことも可能だ。また、電子メールによる確認は攻撃を緩和できるが、完全に防止することはできないとCassidy氏は主張する。この理由は特に示されていないが、FAQでは攻撃者が被害者に電子メールの確認を要求することにも言及している。