パスワードマネージャー「Dashlane」が2026年6月2日(月)、攻撃者によって20件の暗号化ユーザーボルトが窃取されたとするセキュリティ勧告を公開した。Ars TechnicaのセキュリティライターDan Goodin氏がこの勧告を詳細に検証し、技術的な説明に重大な空白があるとして問題を指摘している。

何が起きたのか——公式発表の概要

Dashlaneの公式発表によると、2026年5月31日(日曜日)から外部の攻撃者が一部ユーザーアカウントに対してブルートフォース攻撃を開始。2段階認証(2FA)の保護を突破し、既存アカウントに新しいデバイスを登録することを目的としていたとされる。攻撃の結果、20件の暗号化ボルトの窃取が確認された。Dashlaneは「大量の試行が検出されたため、セキュリティコントロールが対象アカウントを自動ロックした」と説明している。

勧告に穴だらけ——Ars Technicaが指摘する疑問点

Ars TechnicaのGoodin氏は、この勧告には重大な情報欠落があると複数の観点から指摘している。

「第1認証要素が破られた経緯の説明がない」というのが最大の問題点だ。2FAへの攻撃が可能になるためには、まずパスワード(第1認証要素)が突破されている必要がある。しかしDashlaneは、パスワードがどのように漏洩・突破されたかについて一切言及していない。

また、2FAのブルートフォース攻撃の技術的実現可能性にも疑問が残る。一般的なTOTPコード(認証アプリが生成する6桁の数字)は100万通りの組み合わせがあり、3時間以内に有意な割合を試すには相当な計算リソースが必要だ。Goodin氏は、レートリミットなしにそれだけの試行が行われればサーバーが耐えられないはずとも指摘している。

さらにGoodin氏は、2FA疲弊攻撃(2FA Fatigue Attack)の可能性も提示している。これは攻撃者がすでにパスワードを入手した状態で繰り返しログインを試み、プッシュ通知を大量送信してユーザーが疲れて「承認」ボタンを押すのを待つ手法だ。Dashlaneは「ブルートフォース」と表現しているが、実態はこちらに近い可能性がある。

ユーザーへの通知が不十分——当事者の声

Goodin氏の取材に応じたイギリス在住のユーザーは、日曜に2FA要求の通知を受け取ったが、Dashlaneのサポートボットに問い合わせても何の説明も得られなかったと証言している。

「DashlaneからではなくMastodonのinfosecコミュニティからこのニュースを知った。有料ユーザーとして、Dashlaneから直接知らせるべきだったはずだ」

Ars Technicaは「Dashlaneは完全な沈黙を維持している」と報じており、ソーシャルメディアには同様の不満が多数投稿されている状況だ。

日本市場での注目点

Dashlaneは日本語対応の国際的なパスワードマネージャーで、個人・法人ともに利用者がいる。今回の事案で確認しておきたい点は以下の通りだ。

  • 暗号化ボルトは「盗まれた」が「解読された」わけではない: 現時点では暗号化されたままであり、強固なマスターパスワードを設定していれば、直ちに中身が漏洩するわけではない
  • 2FA方式を見直す機会: プッシュ通知型の2FAは2FA疲弊攻撃に対して脆弱なケースがある。TOTPアプリ(Google AuthenticatorやAuthyなど)やハードウェアキー(YubiKeyなど)への移行を検討する価値がある
  • 競合との比較: 1Password・Bitwardenなど主要なパスワードマネージャーもセキュリティインシデントのリスクはゼロではないが、インシデント後の通知の迅速さと透明性がサービス選択の重要な指標となる

筆者の見解

今回の件は、技術的な被害の大きさよりもインシデント対応のコミュニケーション品質の問題として捉えるべきだろう。

暗号化ボルトが盗まれたこと自体は、適切な暗号化が施されていれば即座に壊滅的な被害にはつながらない。問題は、影響を受けた可能性のあるユーザーが「何が起きたのか」を理解できる形で伝えられなかったことだ。「第1認証要素はどう突破されたのか」「他に注意すべきユーザーはいるのか」という基本的な問いに答えないまま勧告を出すのは、パスワードマネージャーというカテゴリへの信頼を自ら傷つける行為だ。

パスワードマネージャーは文字通り「鍵を預ける」サービスだ。技術的な強固さと同等に、問題が起きたときのコミュニケーションが信頼の根拠になる。道のど真ん中の対処策として、まずマスターパスワードの更新と2FA方式の確認を推奨する。プッシュ通知型を使っているなら、TOTPアプリへの切り替えを検討してほしい。

関連製品リンク

Yubico Security Key, YubiKey 5C NFC USB-C/FIDO2/WebAuthn/U2F/2-Level Authentication/Heavy Duty/Shockproof/Waterproof

Yubico Security Key, YubiKey 5C NFC USB-C/FIDO2/WebAuthn/U2F/2-Level Authentication/Heavy Duty/Shockproof/Waterproof

上記はAmazon.co.jpへのリンクです。記事執筆時点の情報であり、価格・在庫は変動する場合があります。

出典: この記事は Dashlane issues opaque advisory warning 20 encrypted vaults were stolen の内容をもとに、筆者の見解を加えて独自に執筆したものです。