複数の人気パスワードマネージャーがクリックジャッキング攻撃に脆弱、ログイン情報漏洩の恐れ

佐々山 Tacos

2025.08.21

主要パスワードマネージャーがクリックジャッキング攻撃に脆弱、ログイン情報漏洩の恐れ

BleepingComputer – August 20, 2025

数々の人気パスワードマネージャーに、認証情報やクレジットカード情報、2FAコードなどの窃取を可能にし得るクリックジャッキングの脆弱性が潜んでいたことが明らかに。セキュリティ研究者のMarek Tóth氏が、この脆弱性を利用したDOMベースのクリックジャッキング攻撃シナリオについて報告した。

クリックジャッキング攻撃は、一見すると無害なWebページ（CookieバナーやCAPTCHAなど）を提示し、そこに無色透明なHTML要素（リンクやボタン等を含むもの）をオーバーレイすることで、ユーザーに攻撃者の意図した機能を実行させるタイプの攻撃。IFRAMEベースのクリックジャッキング攻撃が一般的だが、今回のTóth氏の報告は、主にDOMベースの新たな攻撃手法にフォーカスした内容になっている。

このDOMベースのクリックジャッキング攻撃は、悪性スクリプトによってブラウザ拡張機能がDOMに注入するUI要素を操作することによって行われる。以下が、攻撃のメインとなるステップだという。

①Cookie使用同意バナーやCloudflareのCAPTCHAなどに見せかけた、囮用のUI要素を作成
②ログインフォームや個人データの入力フォームなど、フォームを作成
③②のフォームの不透明度を設定する（opacityを0.001に）
④フォームの入力値に「focus()」を使用し、パスワードマネージャーのオートフィルドロップダウンメニューが現れるようにする
⑤④のUIをDOMベースの拡張機能クリックジャッキングの手法により透明にする
⑥ユーザーが①の囮用要素を信じ、Cookie使用の同意ボタンやCAPTCHAチャレンジだと思い込んでクリック操作を行うが、実際には透明な④のUIがクリックされる。これにより②のフォームにデータが自動入力され、攻撃者はフォームの値からデータを入手できる

Tóth氏は、以下11種類のパスワードマネージャー（ブラウザ拡張機能）に対し、上記の攻撃のさまざまなバリエーションを仕掛けてテストを実施。すると、すべてがいずれかの攻撃シナリオに脆弱だったという。

1Password
Bitwarden
Dashlane
Enpass
Keeper
LastPass
LogMeOnce
NordPass
ProtonPass
RoboForm
iCloudパスワード（Webブラウザの拡張機能版）

Tóth氏は2025年4月、この問題についてすべてのパスワードマネージャーベンダーに報告。また8月開催のDEF CON 33で自らの発見について開示予定であることも伝えたという。また、ソフトウェアサプライチェーンセキュリティ企業のSocketもTóth氏の発見を検証して裏付けを取っており、今週には各パスワードマネージャーごとに上記脆弱性のCVEを申請している旨を全ベンダーに通知している。

BleepingComputerの報道によれば、現時点で以下のパスワードマネージャーがTóth氏の攻撃メソッドに脆弱だとされる。Bitwarden、iCloudパスワード、Enpass、LastPass、LogMeOnceについては現在問題解消に向けて取り組んでいるところだという。