パスワードマネージャーは、複数のアカウントのログイン情報を一元管理するツールです。
私たちは、多くのオンラインアカウントを使用しています。2020年のある調査によれば、平均的なインターネットユーザは約100個のオンラインアカウントを使用しているといいます。
安全のためには長く複雑なパスワードが有効ですが、約100個ものパスワードは普通覚えられないはずです。
では、どうすればパスワードを簡単かつ安全に管理できるのか。おすすめの管理方法は、パスワードマネージャーを使うことです。
パスワードマネージャーは強力なパスワードを生成し記憶します。ユーザが覚えておく必要があるのは、パスワードマネージャー自体のパスワードひとつだけでOKです。
というところなのですが、それはそのパスワードマネージャーが安全に利用できることが前提となった話です。
多く利用されているパスワードマネージャーにおいて、脆弱性があることが確認されています。
それが、DOMベースの拡張機能クリックジャッキングです。
クリックジャッキングは、これまで多く指摘されてきました。
そして、多くのクリックジャッキングが対策されてきたため、多くのバグ報奨金プログラムでは、この脆弱性は「対象外」セクションに記載されており、場合によっては脆弱性は認められても報奨金は支払われません。これは、この脆弱性の影響を大幅に軽減する多くの保護策が今日利用可能になっているためです。
しかし、これはこれまでの通常のクリックジャッキングの場合の話です。
新たに現在わかってきているのは、その応用といえる技法です。
DOMベースの拡張機能クリックジャッキングはどういったものなのでしょうか。
- 悪意のコンテンツを用意する
悪意のあるWebサイトまたは侵害されたWebサイトでスクリプトを実行し、不透明度設定、オーバーレイ、またはポインターイベントトリックを使用して、ブラウザベースのパスワードマネージャーの自動入力ドロップダウンメニューを非表示にします。
そして、利用者をこのサイトにたどりつかせます。 - 行動させる
攻撃者は偽の侵入要素 (Cookie バナー、ポップアップ、CAPTCHA など) を重ねて、ユーザがクリックすると非表示のパスワードマネージャーコントロールが表示されるようにし、機密情報を画面に含まれるフォームに自動入力させます。
実に巧妙です。
普段は面倒な入力を自動で実施してくれるので便利なパスワードマネージャーなのですが、利用者の利用したいログイン画面にだけでなく、脅威アクターの用意した見えなく加工されているログイン画面風の入力フィールドにも、ご丁寧にユーザ名やパスワードを入力してくれてしまうのです。
そして、その自動入力された機密情報は脅威アクターの手に渡ります。
パスワードマネージャーに登録しているものは住所だろうと何かの番号だろうと、取り出せることでしょう。
この脆弱性が確認された後、人気の11種のパスワードマネージャーに対し、情報が示されました。
時間の経過とともにいくつかのベンダーは対策を講じてきましたが、2025年8月の時点でまだ対策ができていないものが6種ある状況です。
Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass, LogMeOnce、です。
良く利用されているパスワードマネージャーのアクティブインストール数は4000万件といわれています。
4000万件のうちの1件は、自分かもしれません。
そもそも利用しているツールの最新版を利用できているのか、だけでなく、そのツールは安全な状態なのかも気にする必要があるということです。
DOM-based Extension Clickjacking: Your Password Manager Data at Risk
https://marektoth.com/blog/dom-based-extension-clickjacking/
| この記事をシェア |
|
|---|
表紙.png)