ある研究者が10種類近くのパスワードマネージャーをテストしたところ、いずれもクリックジャッキング攻撃に対して脆弱であり、極めて機密性の高いデータが窃取される可能性があることが判明しました。
この調査はMarek Tóth氏によって実施され、今月初めにDEF CONカンファレンスで発表されました。研究者は自身の調査結果を詳述したブログ記事も公開しています。
研究者が対象としたのは、1Password、Bitwarden、Dashlane、Enpass、Keeper、LastPass、LogMeOnce、NordPass、ProtonPass、RoboForm、そしてAppleのiCloud Passwordsであり、特にこれらの関連ブラウザ拡張機能に注目しました。
これらのブラウザ拡張機能は非常に人気があります。研究者の分析によると、Chrome、Edge、Firefoxの公式拡張機能リポジトリのデータに基づき、合計で約4,000万件のアクティブインストールがあることが分かりました。
クリックジャッキングとは、攻撃者がターゲットユーザーにウェブページ上の隠れた要素をクリックさせるように仕向ける攻撃手法です。攻撃者は、透明でページ上の無害に見える要素の上に配置された悪意のあるボタンや他の要素を含むウェブサイトを用意します。被害者が攻撃者のサイトを訪れてこれらの無害に見える要素を操作すると、実際には悪意のある要素をクリックしてしまい、知らず知らずのうちに危険な操作を実行してしまいます。
Tóth氏は、攻撃者がDOMベースの拡張機能クリックジャッキングとパスワードマネージャーの自動入力機能を利用して、これらのアプリケーションに保存された個人データ、ユーザー名とパスワード、パスキー、クレジットカード情報などの機密データを流出させる方法を示しました。
研究者が実演した攻撃は、被害者の0~5回のクリックを必要とし、大半はページ上の無害に見える要素を1回クリックするだけで成立します。1回クリックの攻撃は、しばしばXSSやその他の脆弱性の悪用を伴いました。
DOM(Document Object Model)とは、ブラウザがHTMLやXMLウェブページを読み込む際に作成されるオブジェクトツリーです。これにより、JavaScriptなどのスクリプト言語がページとやり取りしたり、要素を非表示にしたり、テキストを変更したり、新しいコンテンツを動的に追加したりすることが可能になります。
広告。スクロールして続きをお読みください。
Tóth氏の攻撃は、ブラウザ拡張機能によってDOMに挿入されたユーザーインターフェース要素を悪意のあるスクリプトで操作するものです。「原理としては、ブラウザ拡張機能がDOMに要素を挿入し、それを攻撃者がJavaScriptで不可視にすることができるというものです」と彼は説明しています。
研究者によると、一部のベンダーは脆弱性に対処しましたが、Bitwarden、1Password、iCloud Passwords、Enpass、LastPass、LogMeOnceについては修正がリリースされていません。
SecurityWeekはこれらの企業にコメントを求めています。Bitwardenは、今週バージョン2025.8.0で脆弱性の修正を展開していると述べました。LogMeOnceは、調査結果を認識しており、セキュリティアップデートによる問題解決に積極的に取り組んでいると回答しました。
1PasswordとLastPassは、パスワードマネージャー開発者の視点からこの問題について追加の見解を共有しています。
1PasswordのCISOであるJacob DePriest氏は、クリックジャッキングはウェブサイトやブラウザ拡張機能全般に影響を及ぼす長年のウェブ攻撃手法であると指摘しました。
「根本的な問題はブラウザがウェブページをレンダリングする方法にあるため、ブラウザ拡張機能だけで包括的な技術的解決策を提供することはできないと考えています」とDePriest氏はSecurityWeekに語りました。
「私たちはこのリスクを含むすべてのセキュリティ懸念を真剣に受け止めており、このリスクへのアプローチとしては、顧客により多くのコントロールを提供することに重点を置いています。1Passwordでは、すでに支払い情報の自動入力前に確認を求めるようになっており、次回のリリースではこの保護を拡張し、他の種類のデータについても確認アラートを有効にできるようにします。これにより、ユーザーは自動入力が行われていることを把握し、自分のデータをコントロールできるようになります」と彼は付け加えました。
LastPassの脅威インテリジェンス・緩和・エスカレーション(TIME)ディレクターであるAlex Cox氏も、Tóth氏の研究が「すべてのパスワードマネージャーが直面するより広範な課題、すなわちユーザー体験と利便性のバランスを取りつつ、進化する脅威モデルに対応することの難しさを浮き彫りにしている」と述べました。
「LastPassは、すべてのサイトでクレジットカードや個人情報を自動入力する前にポップアップ通知を表示するなど、特定のクリックジャッキング対策を実装しており、今後もユーザーをさらに保護しつつ、顧客が期待する体験を維持する方法を模索していきます」とCox氏は説明しました。
さらに、「その間、私たち[Time]チームはすべてのパスワードマネージャーユーザーに対し、警戒を怠らず、不審なオーバーレイやポップアップには触れず、LastPass拡張機能を常に最新の状態に保つよう呼びかけています」と付け加えました。
翻訳元: https://www.securityweek.com/password-managers-vulnerable-to-data-theft-via-clickjacking/