優れたパスワードマネージャーのいくつかに、ハッカーによるクリックジャッキング攻撃を可能にする脆弱性が発見されました。研究者のMarek Tóth氏は最近、このバグを利用して攻撃者がインターフェース上に目に見えないHTML要素を重ね合わせ、ユーザーが通常のポップアップをクリックしていると思い込ませる手法を実証しました。しかし実際には、アカウント認証情報、2FAコード、クレジットカード情報といった機密情報が、ユーザーが知らないうちに漏洩しているのです。
Bleeping Computerは、トース氏が8月のDEF CON 33カンファレンスで披露した研究結果を報じました。脅威アクターは、被害者がクロスサイトスクリプティングやキャッシュポイズニングの脆弱性を持つ悪意のあるウェブサイトにアクセスした際に、この脆弱性を悪用することができます。この際に、目に見えないオーバーレイが発生します。ハッカーは偽のサイトを作成し、ログイン画面や同意バナーなどの煩わしいポップアップを表示するだけで済みます。このポップアップには目に見えないログインフォームのオーバーレイが含まれており、被害者がサイトをクリックしてポップアップを閉じると、パスワードマネージャーが悪意のあるサイトに認証情報やその他の機密情報を自動入力し、リモートサーバーに送信します。
トート氏は、この脆弱性を悪用する複数の方法を示しました。具体的には、DOM(ドキュメントオブジェクトモデル)要素の不透明度を直接操作する方法、ルート要素の不透明度を操作する方法、親要素の不透明度を操作する方法、部分的または完全なオーバーレイ操作などです。また、マウスカーソルにUIが追従し、ページ上の位置に関係なくクリックするだけでデータの自動入力が実行される手法も実演しました。さらに悪いことに、トート氏は、汎用的な攻撃スクリプトを使用して被害者のブラウザでどのパスワードマネージャーがアクティブになっているかを特定し、攻撃をリアルタイムで適応させることができると説明しました。
Tóth氏の調査結果はサイバーセキュリティ企業Socketによって検証され、Socketは脆弱性の影響を受けるベンダーへの情報提供、CVEの公開と登録の調整にも協力しました。テスト対象となったパスワードマネージャーには、1Password、Bitwarden、Enpass、Apple Passwords、LastPass、LogMeOnceが含まれています。
これらすべてのベンダーは、ブラウザベースのパスワードマネージャーを提供しており、特定のシナリオ下では機密情報が漏洩する可能性があります。合計11種類のパスワードマネージャーをテストしたところ、いずれも少なくとも1つの攻撃手法に対して脆弱であることが判明しました。トート氏は2025年4月にすべてのベンダーにこの問題を通知し、その後DEF CON 33で調査結果を公表しました。
パスワードマネージャー企業の多くは、この問題の解決に取り組んでいるか、修正プログラムを公開しています。ユーザーへの推奨事項としては、パスワードマネージャーを最新バージョンで使用していることを確認することなどが挙げられます。また、トート氏は、修正プログラムが公開されるまでは、パスワードマネージャーの自動入力機能を無効にし、コピー&ペーストのみを使用するべきだと述べています。さらに、「Chromiumベースのブラウザをご利用の場合は、サイトへのアクセスを「クリック時」拡張機能の設定に設定することをお勧めします。これにより、ユーザーは自動入力機能を手動で制御できます」と付け加えています。
Google ニュースで Tom's Guideをフォローすると、最新のニュース、ハウツー、レビューをフィードで受け取ることができます。「フォロー」ボタンを忘れずにクリックしてください。
Tom's Guideのその他の記事
- 人気のChrome VPN拡張機能が密かにユーザーをスパイしていたことが判明 - 今すぐアンインストールしましょう
- データベースハッキングで20億人以上のGmailユーザーが危険にさらされる ― 安全を保つ方法
- FBIがすべてのスマートフォンユーザーに警告を発令 ― この危険な新しい詐欺はあなたの家のすぐそばに潜んでいるかもしれない
10件中10件を表示
フィルター☰
最新ニュース、最も注目されているレビュー、お得な情報、役立つヒントにすぐにアクセスできます。
アンバー・ブーマンは、Tom's Guideのシニアセキュリティエディターとして、ウイルス対策ソフトウェア、ホームセキュリティ、個人情報窃盗などについて執筆しています。彼女は長年、オンラインとオフラインの両方における個人のセキュリティに関心を持ち、格闘技と刃物にも造詣が深いです。20年以上にわたるテクノロジージャーナリズムの経験を持つアンバーは、PC World、Maximum PC、Tech Hive、Engadgetなど、スマートフォンからスマート搾乳器まで、あらゆるトピックを網羅した記事を執筆しています。
