ITおよびセキュリティの専門家は、ログインデータを安全に一元管理するために、パスワードマネージャーの利用を長年推奨してきました。パスワードマネージャーは一般的に信頼性が高く安全であると考えられていますが、11のプロバイダーに共通する脆弱性が発見され、ハッカーに悪用される可能性があります。(最も信頼できるパスワードマネージャーについては、当社のおすすめをご覧ください。)
この脆弱性は、The Hacker Newsのセキュリティ研究者によって発見されました。以下のパスワードマネージャーは、DOM(ドキュメントオブジェクトモデル)に基づくブラウザ拡張機能に影響を与えています。
- 1パスワード
- ビットワーデン
- ダッシュレーン
- エンパス
- iCloudパスワード
- キーパー
- ラストパス
- ログミーワンス
- ノルドパス
- プロトンパス
- ロボフォーム
このリストには、最も有名で広く使用されているパスワードマネージャーがいくつか含まれており、世界中で推定4,000万人のユーザーに影響を与えています。そのため、細心の注意を払うことをお勧めします。これらのプロバイダーの多くは、このセキュリティ上の欠陥をまだ修正していないため、この記事の執筆時点では依然としてデータ盗難が発生する可能性があります。RoboFormのように修正プログラムを公開しているサービスについては、脆弱性を解消するためにアップデートする必要があります。
ハッカーがパスワードを入手する方法
問題となっている脆弱性はクリックジャッキングとして知られています。攻撃者は、本物のウェブサイトを模倣した偽のウェブサイトにユーザーを誘導することができます。偽のウェブサイトは、目に見えない要素が含まれている点を除けば、本物らしく見せかけます。
場合によっては、ユーザーが誤ってパスワードマネージャーを一度クリックするだけで起動し、アクセスデータを自動的に入力しようとすることがあります。ハッカーはこれらの入力試行を監視し、干渉することでパスワードマネージャーにアクセスし、保存されているパスワードを乗っ取ります。通常、ユーザーは影響を受けたページを閉じるだけで、誰かがパスワードマネージャーにアクセスしたという警告は表示されないため、攻撃に気付かれることはありません。
では、なぜこれらのパスワードマネージャーは、このような方法を用いた攻撃の入り口となるリスクを負っているのでしょうか?それは、この種の攻撃を可能にする脆弱性がDOMに存在するためです。
ちなみに、パスワードだけでなく、保存されているクレジットカードの詳細、名前、住所、電話番号など、他の種類の機密データもこの方法で傍受される可能性があり、フィッシング攻撃に使用される可能性があります。
この脆弱性は2025年4月に影響を受けるプロバイダーに報告されましたが、そのうちの半数弱が警告に対応しました。Bitwardenは、この問題に対処するプラグインの新バージョンを提供しています。
自分を守る方法
クリックジャッキングから身を守るための万能な解決策はありません。たとえ正当なウェブサイトにつながるように見えても、未知のリンクや予期しないリンクは絶対にクリックしないことが重要です。ブラウザで新しいタブを手動で開き、直接サイトにアクセスするか、信頼できるブックマークを使って素早くアクセスするのが最も安全です。
Chromiumベースのブラウザ(最近のブラウザのほとんどがこれに該当します)とパスワードマネージャーを併用している場合は、パスワードマネージャーの自動入力設定を「クリック時」に切り替えることをお勧めします。これは、意図を確認せずにパスワードが自動的に入力または補完されるのを防ぐための重要な手順です。
あるいは、ブラウザ設定の「自動入力とパスワード」セクションで、メールアドレス(およびその他のデータ)の自動補完を無効にすることもできます。
編集者注、2025 年 8 月 28 日: このクリックジャッキング脆弱性に対処するためのパッチを発行したサービスと、更新がまだ適用されていない場合に残る脅威を明確にしました。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
著者: ローラ・ピッピグ、PC-WELT スタッフライター
ローラは熱心なゲーマーであり、映画とテレビのファンでもあります。コミュニケーション科学を学んだ後、PCMagazinとConnect Livingに就職しました。それ以来、PCとテクノロジーに関するあらゆるトピックについて執筆しており、2024年5月からはドイツの姉妹サイトPC-WELTの常任編集者を務めています。
