パスワードマネージャーはパスワードや機密情報を保護するように設計されていますが、悪用され、攻撃者がこれらの情報にアクセスできるようになる可能性があります。新たに発見されたDOMベースのクリックジャッキング手法は、一部のパスワードマネージャーを欺き、悪意のあるフォームに認証情報を自動入力させる可能性があります。以下では、この攻撃の仕組みと、防御を強化する方法について詳しく説明します。
パスワードマネージャーの脆弱性を理解する
最近の調査結果では、クリックジャッキングの一種を容易にするドキュメントオブジェクトモデル(DOM)の脆弱性が明らかになりました。この脆弱性により、攻撃者はパスワードマネージャーの自動入力機能を密かに起動することが可能になります。これにより、パスワード、TOTP/2FAコード、クレジットカード情報といった機密データが窃取される可能性があります。この攻撃の仕組みは以下のとおりです。
- ユーザーは、攻撃者が制御する Web ページにアクセスします。このページには、Cookie 同意バナーやポップアップの閉じるボタンなど、一見無害なクリック可能な要素が表示されます。
- 攻撃者は、DOM の可視性のトリックを活用して、 を設定することで、正当なクリック可能な要素の上に目に見えないフォームを配置します
opacity:0。 - クリックすると、ユーザーのパスワード マネージャーが保存されている資格情報を隠しフォームに自動的に入力し、サイバー犯罪者がそれを取得できるようになります。
この一連の操作はユーザーには気づかれることなく実行され、多くの場合、ユーザーは自分の情報が漏洩したことに気づきません。最近の調査では、主要なパスワードマネージャー11社を評価し、自動入力機能を備えたほとんどのパスワードマネージャーが影響を受けやすいことが示唆されました。この調査結果を受けて、いくつかのパスワードマネージャーは自動入力時に確認プロンプトを表示するアップデートをリリースしましたが、依然として多くのパスワードマネージャーがリスクにさらされています。
しかし、これらのパッチのほとんどは一時的な修正に過ぎず、ブラウザのウェブページレンダリングプロセスに根ざした根本的な問題には対処できていません。1Passwordが指摘しているように、「根本的な問題はブラウザがウェブページをレンダリングする方法にあります。ブラウザ拡張機能だけでは根本的な技術的解決策を提供できないと考えています。」
クリックジャッキング攻撃に関連するリスクを軽減するには、パスワード マネージャー拡張機能を最新の状態に保つことに加えて、次のベスト プラクティスを検討してください。
パスワードマネージャーの自動入力を無効にする
このような攻撃では主に自動入力機能が悪用されるため、この機能を無効にすることでセキュリティを大幅に強化できます。フィールドへの自動入力の代わりに、必要なときに指定されたボタンをクリックして手動で入力する必要があります。
自動入力を無効にするには、パスワードマネージャー拡張機能の設定に移動し、「自動入力して保存」セクションの下にあるスイッチを探します。自動入力を回避するには、フォーカス時に自動入力を無効にしてください。
クリック時またはサイト固有のアクセス用に拡張機能を構成する
ほとんどのブラウザでは、拡張機能を特定のウェブサイトでのみ有効にするか、拡張機能アイコンから手動で有効にするかを設定できます。これらのパラメータを設定することで、一般的なブラウジングを目的としたサイトにおける不要な自動入力を効果的に防ぐことができます。
ブラウザの拡張機能ページにアクセスし、パスワードマネージャーの詳細にアクセスします。「サイトアクセス」セクションを探します。通常、デフォルトでは「すべてのサイト」に設定されています。これを「クリック時」に変更するか、必要に応じて特定のサイトを指定します。「クリック時」を選択すると、アイコンをクリックした時のみ有効になり、「特定のサイト」を選択すると、事前に定義されたウェブサイトでのみ有効になります。
ブラウザ拡張機能よりもデスクトップアプリやモバイルアプリを選ぶ
クリックジャッキング攻撃は主にブラウザ拡張機能を狙うため、パスワードマネージャーのネイティブデスクトップアプリケーションまたはモバイルアプリケーションを活用することで、脆弱性を軽減できます。これらのアプリケーションは通常、手作業による入力プロセスを効率化するために、分かりやすい検索およびコピーオプションを提供しています。
ログイン ページにアクセスするときは、パスワード マネージャー アプリで資格情報を検索し、コピー機能を使用して簡単に入力できます。
スクリプトブロック拡張機能を活用する
多くのクリックジャッキング攻撃はウェブページ上で実行されるスクリプトに大きく依存しているため、スクリプトブロッカーは効果的な防御策となります。JavaScriptをブロックすることでこれらの攻撃を阻止することは可能ですが、最大限の安全性を確保するには、信頼できないドメイン上のすべてのスクリプトをブロックするという、より包括的なアプローチを推奨します。
NoScriptは、このニーズに応える強力な拡張機能で、ChromeとFirefoxの両方で利用できます。JavaScriptを含む様々な形式のアクティブスクリプトを自動的にブロックし、信頼できるサイトでのみスクリプトを選択的に有効にすることができます。
ボーナスヒント: アカウントのセキュリティを強化する
認証情報の盗難を防ぐには、追加のセキュリティ対策を講じることが不可欠です。2要素認証(2FA)は強く推奨されますが、SMS認証はセキュリティ侵害を受けやすいため、より堅牢な2FA方式を採用するようにしてください。TOTPは良い出発点ですが、認証アプリは別のデバイスにインストールするようにしてください。さらに、パスキーやハードウェアセキュリティキーの活用を検討し、より強力な保護対策を講じてください。
潜在的な脆弱性を最小限に抑えるため、自動ログインソリューションへの過度な依存は避けましょう。追加の手順が必要になる場合もありますが、このわずかな手間は、特にパスワードマネージャーに大量の機密情報を保存している場合、セキュリティを大幅に強化します。
コメントを残す