パスワードマネージャーDashlaneが総当たり攻撃でパスワード保管庫を窃取される — 2026年5月インシデント詳報

概要

2026年5月31日、パスワードマネージャーのDashlaneがブルートフォース攻撃を受け、20人未満のユーザーの暗号化パスワード保管庫が盗まれた。攻撃者はデバイス登録フローの2FAワンタイムトークンを総当たりで突破し、新デバイスを不正登録することで保管庫をダウンロードした。

詳細

• 攻撃の手口: ユーザーのメールアドレスに送られる6桁のワンタイムトークン（デバイス登録フロー）を総当たり攻撃。2FAを突破して新デバイスを不正登録し保管庫をダウンロード
• 被害規模: 20人未満の個人プランユーザーの暗号化保管庫が窃取。該当ユーザーには通知済み
• Dashlaneの対応: 自動セキュリティシステムが攻撃を検知し対象アカウントを自動ロック。6月4日に調査完了を発表し追加被害なしを確認
• 保管庫の安全性: マスターパスワードなしではアクセス不可能で、長期間の解読試行でも統計的に成功確率は極めて低いとDashlaneは主張
• デバイス登録フローのレート制限不足が根本原因と見られ、Dashlaneは対策強化を発表

参照

• 出典: https://gigazine.net/news/20260605-dashlane-how-attackers-managed-encrypted-password/
• はてなブックマーク数: 15