新たなクリックジャッキング攻撃でパスワードマネージャーがデータを漏らす

新たな研究によると、パスワードマネージャーの利用者数百万人が、「DOMベースのエクステンションクリックジャック」と呼ばれる危険なブラウザのエクスプロイトに対して脆弱である可能性があると警告しています。

この研究結果の裏にいる研究者が説明しています。「クリックジャッキングはまだセキュリティの脅威ですが、現在ではより人気があります（パスワードマネージャー、暗号通貨ウォレットなど）ブラウザー拡張機能に重点を移す必要があります。」

この攻撃は、ユーザーをだまして偽の要素をクリックさせることで機能します。その中にはクッキーバナーとキャプチャポップアップも含まれており、一方で見えないスクリプトが秘密裏にパスワードマネージャーの自動入力機能を有効にします。研究者たちは、攻撃者が敏感な情報を盗むために必要なのはたった一回のクリックだけであると説明しています。

「攻撃者がコントロールするウェブサイトでの一回のクリックだけで、攻撃者はユーザーのデータ（クレジットカードの詳細、個人データ、ログイン認証情報を含むTOTP）を盗むことが可能になります」と、レポートでは述べられています。

研究者は、1Password、Bitwarden、Dashlane、Keeper、LastPass、iCloud Passwordsを含む11の人気パスワードマネージャーをテストしました。その結果は驚くべきものでした。「すべてが”DOMベースのエクステンションクリックジャッキング”に対して脆弱でした。数千万人のユーザーがリスクにさらされている可能性があります（約4000万のアクティブインストール）。」

このテストでは、9つのパスワードマネージャーのうち6つがクレジットカードの詳細を露出させ、10のマネージャーのうち8つが個人情報を漏らしていました。さらに、11のうち10つが攻撃者による保存されたログイン情報の盗み出しを可能にしていました。場合によっては、二要素認証のコードやパスキーさえも侵害される可能性がありました。

2025年4月にベンダーに警告が出されたにもかかわらず、ビットワーデン、1Password、iCloud Passwords、Enpass、LastPass、LogMeOnceなどの一部のベンダーがまだこれらの欠陥を修正していないことが、研究者たちから指摘されています。これは特に懸念すべき事態で、推定32.7万人のユーザーがこの攻撃に晒されていると考えられるからです。

研究者たちは次のように結論付けています。「述べられた手法は一般的なもので、私は11のパスワードマネージャーでのみテストしました。他のDOMを操作する拡張機能（パスワードマネージャー、暗号ウォレット、ノートなど）もおそらく脆弱でしょう。」