パスワードマネージャーのDashlaneがサイバー攻撃を受け暗号化パスワード保管庫を盗まれた経緯を説明

現地時間の2026年5月31日、パスワードマネージャーの「Dashlane」が外部から総当たり攻撃を受け、ユーザーのパスワードが保存された暗号化保管庫を盗まれました。このサイバー攻撃の経緯をDashlaneが説明しています。

Security advisory: Brute force attack on Dashlane user accounts – Dashlane
https://support.dashlane.com/hc/en-us/articles/36038764990866-Security-advisory-Brute-force-attack-on-Dashlane-user-accounts

Dashlane explains how attackers managed to download encrypted password vaults - Ars Technica
https://arstechnica.com/security/2026/06/dashlane-explains-how-attackers-managed-to-download-encrypted-password-vaults/

2026年5月31日、Dashlaneは外部の第三者から特定のユーザーアカウントに対して総当たり攻撃を受けました。攻撃の目的は、二段階認証を総当たり攻撃で突破し、既存のユーザーアカウントに新しいデバイスを登録することです。

ユーザーアカウントへの総当たり攻撃を検知したDashlaneの自動セキュリティシステムは、攻撃の標的となったアカウントを自動的にロック。システムから通知を受けたDashlaneチームは調査と復旧作業を開始しました。この攻撃により複数のユーザーアカウントが一時的に利用停止状態に陥りましたが、記事作成時点でアカウントへのアクセスは復旧しています。

攻撃者は20人未満の個人プランユーザーの暗号化されたパスワード保管庫をダウンロードすることに成功しました。該当ユーザーにはすでに通知済みです。Dashlaneユーザーで、パスワード保管庫に関するメッセージを受け取っていない場合は、アカウント侵害の影響はありません。

Dashlaneの暗号化パスワード保管庫はマスターパスワードなしではアクセス不可能。また、保管庫の暗号化により、長期間にわたっても保管庫へのアクセスを試みる行為が統計的に成功する可能性が極めて低いことが保証されているとDashlaneは主張しています。

Dashlaneは脅威アクターからのトラフィックをブロックし、今後のインシデントのリスクを軽減し、システムの回復力を強化するための対策を講じると発表しました。

その後、6月4日にDashlaneは今回のインシデントに関する調査を完了したと発表。Dashlaneユーザーへの追加の影響は確認されておらず、内部システムに影響があったという証拠も見つかっていないとのこと。

調査により、今回の攻撃はデバイス登録フローを標的とした攻撃であったことが明らかになりました。このフローは、携帯電話やコンピューターなどのデバイスをユーザーのDashlaneアカウントに追加するために使用されるものです。

ユーザーが追加デバイスを有効にすると、Dashlaneはアカウント所有者の身元を確認します。この確認は、ユーザーの登録済みメールアドレスに6桁のワンタイムトークンを送信するか、二段階認証を有効にしているユーザーの場合は、認証アプリで生成された6桁のコードを検証することで完了します。ユーザーがこのコードをDashlaneアプリに入力すると、Dashlaneはデバイスを登録し、暗号化されたパスワード保管庫のコピーをデバイスにダウンロードします。

ユーザーが暗号化されたパスワード保管庫にアクセスするには、マスターパスワードを入力して復号する必要があります。マスターパスワードがない場合、ユーザーはパスワード保管庫内のデータにアクセスできません。Dashlaneが採用しているパスワード保管庫の暗号化方式(Argon2＋AES-256-CBC＋HMAC-SHA256)により、長期間にわたってもパスワード保管庫へのアクセスを試みる確率は統計的に見ても極めて低くなります。なお、Dashlaneはゼロ知識アーキテクチャに基づき、マスターパスワードやその派生パスワードをサーバーに保存することはありません。

攻撃者はデバイス登録用のAPIエンドポイントを標的として、総当たり攻撃を実行し、大量の自動リクエストをエンドポイントに送信。これに対して、Dashlaneの自動セキュリティシステムは意図通りに作動し、標的となるアカウントを自動的にロックアウトし、ユーザーを保護しました。攻撃者は攻撃が完全に鎮圧される前に、総当たり攻撃を仕掛け、20人未満の個人プランユーザーに対して有効なトークンを生成し、それらのアカウントに新しいデバイスを登録することで、暗号化パスワード保管庫をダウンロードすることに成功しています。

Dashlaneは悪意のあるトラフィックを検知・排除するために、ネットワークレベルおよび製品内部で追加の保護対策を導入。加えて、新しいデバイス登録フローに、検証のための追加レイヤーを組み込んだと発表しています。