パスワードマネージャーは長年、自動入力機能(保存したウェブサイトのログインフォームにユーザーIDとパスワードを自動入力する機能)を提供してきました。しかし、この機能にはリスクが伴います。特に人気サービスのBitwardenの場合、その危険性は非常に高いため、自動入力は絶対に避けるべきです。
一般的に、セキュリティ専門家は、保存したサイトで認証情報が自動的に入力される、最も積極的な自動入力を無効にすることを推奨しています。ウェブサイトが侵害された場合、ページが正常であることを視覚的に確認する前に、悪意のある人物がログイン情報を盗み取ってしまう可能性があります。
更新、2023 年 3 月 31 日: Bitwarden は、自動入力用の新しい警告システムが稼働していると述べています。
2023年3月17日更新: Bitwardenは、来週、自動入力の動作に関する変更をリリースすると発表しました。この変更については、この記事の末尾で概要を説明しています。また、オンラインでパスワードを安全に保つための推奨事項の改訂版も掲載しています。ただし、このアップデートが公開されるまでは、当初のレポートとアドバイスは有効です。
しかし、セキュリティ企業Flashpoint.ioが先週のブログ記事で詳細を説明したように、Bitwardenのオートフィル機能は他のサービスよりも深刻な脆弱性を抱えています。iframe(別のウェブページからHTML要素を読み込む)を使用するウェブサイトでは、外部ウェブサイトでホストされているログインフォームには、保存されているサイトのユーザーIDとパスワード情報がそのまま入力されます。こうした外部HTML要素(広告など、エクスプロイトの既知の攻撃経路となる要素)のいずれかが侵害されると、ログインデータが盗まれる可能性があります。
この寛容さは偶然ではなく、意図的なものです。2018年後半に公開されたこの問題に関する同社文書の中で、Bitwardenはパスワードマネージャーへのより適切な適応を促進することが目標であると述べています。同社は、ログインのためにapple.comへの接続にiframeを使用している主要なウェブサイトとして、iCloudを例に挙げています。
この脆弱性は、Bitwarden がログインフォームを事前に入力する場合でも、手動で自動入力を開始する場合でも存在します。Flashpoint のテストでは、どちらの自動入力方法を使用しても同じリスクがあることが示されました。Bitwarden は、別のページやサイトにホストされているフォームに入力する際にユーザーに警告を表示せず、ウェブサイトのサブドメインにも無条件で入力を許可しています。一方、他のパスワードマネージャーは自動入力ポリシーをより厳格に維持しているため、より安全な選択肢のように見えます。Flashpoint が競合他社を抜き打ち調査したところ、それらのパスワードマネージャーは、保管庫のエントリに保存されているサイトに対してのみ自動入力するか、少なくとも iframe が外部フォームを読み込む場合には警告を表示していました。
パスワードマネージャーのユーザーは、このような脆弱性から身を守るために、主に2つの対策を講じることができます。(パスワードマネージャーを一切使わないということではありません。)
- 先制自動入力はオフにしておきましょう。優れたサービスやアプリではデフォルトで無効になっているので、セキュリティ強化のため、そのままにしておきましょう。
- 外部サイトでホストされているフォームを自動入力しない、または少なくとも自動入力しようとすると警告が表示されるサービスまたはアプリを使用してください。
信頼できるサービスであり、私たちのお気に入りの無料パスワードマネージャーでもあるBitwardenを使い続けることに決めた場合は、先制的な自動入力もオフにしてください。そして来週まで(下記の「更新:2023年3月17日」を参照)、以下の予防策も講じてください。
- 手動で起動するオートフィルは、信頼できるサイトでのみ使用してください。例えば、Appleは不正なHTML要素から保護するためのリソースを持っているはずです。(Appleがこの種の脆弱性攻撃からユーザーを保護できなければ、誰もがより大きな問題に直面することになります。)
ドミニク・トマシェフスキー / 鋳造所
残念ながら、Bitwardenユーザーは、パスワードマネージャーからフォームにログイン情報をコピー&ペーストする際に、この自動入力の問題を回避できないようです。外部ホストのフォームが侵害された場合、それは侵害されたということです。そのため、来週Bitwardenのアップデートがリリースされるまで(編集者注:下記の2023年3月17日の更新情報を参照)、ログイン情報をどのように入力しても問題ありません。フォームが内部ホストなのか外部ホストなのかはわかりません。これが問題なのです。
公式サイトが侵害された場合、現状ではそのような事態を防ぐ手段はありません。だからこそ、あらゆるサイト、サービス、アプリでランダムなパスワードを使用することが非常に重要です。そうすることで、被害を特定の場所に限定することができます。そして、好むと好まざるとにかかわらず、数十(場合によっては数百)もの認証情報を管理するのに最適な方法は、パスワードマネージャーです。パスワードマネージャーを慎重に選び、使用すれば、ほとんどのトラブルを回避できるはずです。
更新日: 2023年3月17日
Bitwardenは、iframe要素を含むページでの自動入力の動作を変更するアップデートを来週リリースすると発表しました。Bitwardenの最高顧客責任者であるゲイリー・オレンスタイン氏によると、このサービスでは「信頼できる」ドメイン(ユーザーがパスワードボールトエントリに保存したURL、またはBitwardenの既知の正規サイトのデフォルトリストに含まれるURL)と「信頼できない」ドメイン(パスワードボールトに保存された情報またはBitwardenの正規サイトのデフォルトリストに一致しないWebアドレス)を区別するとのことです。
信頼されたドメインの場合、iframe ログイン フォームのあるページを開くと、自動入力は以前と同じように機能し、ユーザーの認証情報が自動的に入力されます。これは、「ページ読み込み時の自動入力」機能が有効になっている場合 (上で「事前自動入力」と呼んでいますが、デフォルトでは無効になっています)、または手動で自動入力をトリガーした場合に、ページが読み込まれるとすぐに実行されます。
信頼できないドメインの場合、Bitwarden は2通りの方法で対応します。「ページ読み込み時の自動入力」機能(上記では「事前自動入力」と呼んでいます)を有効にしている場合、フォームは自動入力されません。手動で自動入力を開始すると、Bitwarden は URL を含む警告をポップアップ表示し、続行するかキャンセルするかを尋ねます。これらの警告は、ユーザーがパスワードボルトのエントリに URL を追加しない限り、常に表示されます。信頼できるドメインに関連する安全でないサイト(http)にも警告が表示されます。
ただし、Bitwarden は今回のアップデート以前と同じデフォルトのマッチングルールを維持しています。つまり、パスワードボルトまたは Bitwarden のデフォルトのマッチングリストに保存されているベースドメイン(例: www.google.com と keep.google.com)に一致する URL はすべて信頼できるとみなされます。つまり、信頼できるドメインのサブドメインは引き続き承認されます。
今回の刷新により、Bitwarden は、iframe ログインフォームに入力する前にユーザーに警告を表示する他のパスワードマネージャーサービスとほぼ同等の機能を備えています。ただし、マッチングの動作をより細かく制御したい場合は、Bitwarden の設定からドメインマッチングルールを調整できます。設定は、ボルト全体(ブラウザ拡張機能内の「設定」>「自動入力」>「デフォルトの URI 一致検出」)またはエントリごとに行うことができます。パスワードボルトのエントリには複数の URL を追加でき、それぞれに異なるマッチングルールを設定できます。より厳密なセキュリティ制御を希望する場合は、マッチングルールを「ベースドメイン」から「完全一致」に切り替えることをお勧めします。また、「しない」に設定して、自動入力を完全に無効にすることもできます。各オプション(ベースドメイン、ホスト、正規表現など)の動作の詳細については、Bitwarden のヘルプページをご覧ください。
