パスワードマネージャー搭載ブラウザアドオンへのクリックジャッキング攻撃

DEF CON 33では、閲覧ページにインターフェース要素を挿入するブラウザアドオンに対する攻撃手法が発表されました。パスワードマネージャー機能を備えたアドオンにこの攻撃を適用すると、認証パラメータ、クレジットカードパラメータ、個人データ、二要素認証用のワンタイムパスワードなど、パスワードマネージャーに保存されている情報が漏洩する可能性があります。この問題は、1Password、Bitwarden、LastPass、KeePassXC-Browser、NordPass、ProtonPass、Keeperなど、テスト対象となったすべてのパスワードマネージャーに影響します。

この攻撃手法は、ブラウザアドオンが自動パスワード置換を要求するダイアログを表示されたページに直接挿入し、その要素をページのDOM（ドキュメントオブジェクトモデル）に統合するという点に基づいています。攻撃者が、例えばサイトのXSS脆弱性を悪用するなどして、ページ上でJavaScriptコードを実行できる場合、ブラウザアドオンによって挿入されたものも含め、DOM内のすべての要素を操作できます。

とりわけ、確認ダイアログを透明にし、このダイアログ内のボタンを、攻撃者が作成した偽のダイアログのボタンと空間的に組み合わせて、ユーザーにクリックを促してしまうという手法が考えられます。このような偽のダイアログは、Cookie、広告バナー、キャプチャ付きフォームの操作許可を求める偽のリクエストなどです。透明なパスワードマネージャーダイアログの下に偽のダイアログを配置し、画面上のボタンの位置を組み合わせることで、ユーザーは広告付きのウィンドウを閉じるボタンなどをクリックしたと勘違いしているにもかかわらず、実際にはパスワードマネージャーダイアログ内の認証パラメータを確認するボタンをクリックするように仕向けることができます。

攻撃は次の手順で行われます。

• クリックを促すような邪魔な要素をページ上に作成します。
• ログインまたは個人データの入力用の Web フォームをページに追加します。
• Web フォームの透明度を設定します (CSS では「opacity: 0.001」)。
• focus() メソッドを使用してフォーム内のフィールドに入力フォーカスを設定し、パスワード マネージャーの自動入力ダイアログをアクティブにします。
• DOM に表示されるパスワード マネージャー ダイアログを見つけて、透明に設定します。
• ユーザーがページ上の目に見える侵入的な要素をクリックするのを待ちます。目に見える要素と目に見えない要素が適切に組み合わされていれば、透明なダイアログのボタンがクリックされ、パスワード マネージャーを使用してフィールドに入力されます。
• 完了した Web フォームからデータを抽出し、攻撃者のサーバーに送信します。

パスワードマネージャーにおける認証パラメータの自動入力は、サイトを開いた際にこれらのパラメータが保存されている場合にのみ有効になるため、攻撃を仕掛けるには、攻撃対象サイトまたはそのサブドメインでJavaScriptコードを実行できる必要があります。つまり、攻撃を仕掛けるには、攻撃対象サイトと同じドメインのサブドメインを取得するか、ユーザーに表示されるコンテンツにコードを挿入できるXSS脆弱性をサイト上で見つける必要があります。

多くのユーザーが、ログインパラメータの保存と二要素認証用のワンタイムパスワードの生成を同じパスワードマネージャーで行っていることが指摘されています。これにより、ワンタイムパスワードの自動入力時に、検討対象の攻撃手法が使用される可能性があります。例として、XSS脆弱性を含むウェブサイトissuetracker.google.comへの攻撃を示します。ログインパラメータと二要素認証用のコードを取得するには、ユーザーにXSS脆弱性を悪用するリンクを送信し、架空の侵入型リクエスト（Cookieの処理許可、パーソナライズの許可、プライバシーポリシーへの同意）を偽装して3回のクリックをさせるだけで十分です。

XSS 脆弱性のあるサイトに加えて、サブドメインを希望者に提供するサービスに対しても攻撃が実行される場合があります。デフォルト設定のほとんどのパスワード マネージャーは、メイン ドメインだけでなくサブドメインのログイン パラメータも入力します。

この攻撃は、パスワードマネージャーに保存されているユーザーの個人情報やクレジットカード情報を特定するためにも利用されます。しかし、こうしたデータを漏洩させるには、別のサイトのコンテキストでJavaScriptコードを実行する必要はなく、被害者を攻撃者のサイトのページに誘導するだけで十分です。個人情報の場合、ウェブフォームは、個人情報の種類（住所、クレジットカード番号、氏名）に基づいて入力され、個人情報は参照されません。 ドメイン最も危険なタイプの漏洩はクレジットカードデータです。パスワード マネージャーにはカード番号だけでなく、有効期限や確認コードも含まれているからです。

この問題を特定した研究者は、パスワードマネージャー機能を備えた11種類のブラウザアドオン（合計39.7万台のアクティブインストール）をテストしましたが、いずれもこの種の攻撃に対して脆弱でした。一部のメーカーは、迂回的な方法で攻撃をブロックするアップデート（NordPass 5.13.24、ProtonPass 1.31.6、RoboForm 9.7.6、Dashlane 6.2531.1、Keeper 17.2.0、Enpass 6.11.6、Bitwarden 2025.8.1）をリリースしました。他のアドオン（KeePassXC-Browser、1Password、iCloud Passwords、Enpass、LastPass、LogMeOnce）については、現時点では修正プログラムがリリースされていません。各種パスワードマネージャーの脆弱性を確認するためのテストページが公開されています。

1Password 開発者は、この脆弱性は根本的なものであり、特定のブラウザアドオンに直接関連するものではないため、アドオン側で脆弱性を解消しようとしても個々の攻撃ベクトルをブロックするだけで、問題そのものを解消することはできないとしています。この問題はブラウザ側で解決するか、フィールドの自動入力前に別途確認を求めることで解決する必要があります。1Password は既に支払いパラメータの自動入力前に確認を求める機能をサポートしており、次期リリースでは、自動入力されるすべての種類のデータに対して確認を求めるオプションが追加される予定です（ただし、利便性が低下するため、このオプションはデフォルトでは有効化されません）。

この研究で提案されているセキュリティ対策には、MutationObserver APIを用いてページに挿入された要素のスタイル変更を追跡すること、Shadow DOMを「closed」モードで使用して変更をブロックすること、要素の透明度を監視すること、Popover APIを用いてダイアログを表示すること、レイヤーの重なりをチェックすること、パスワードマネージャーダイアログ表示中にすべてのフローティング要素のポインタイベント処理（pointer-events:none）を一時的に無効化することなどが含まれます。ただし、記述されているクラスを完全にブロックするには、 攻撃を防ぐためにブラウザレベルで保護するための別のAPIを実装することをお勧めします。 クリックジャッキングから保護します。

Chromiumエンジンベースのブラウザにおける普遍的な保護方法として、アドオンのサイトへのアクセス確認モード（アドオン設定 → 「サイトアクセス」 → 「クリック時」）を有効にすることが推奨されています。これにより、アドレスバーのあるパネルの右側にあるアイコンをクリックした後にのみ、アドオンがサイトにアクセスできるようになります。フォームの自動入力を無効にし、クリップボード経由でパスワードを手動でコピーすることも回避策として挙げられていますが、共有クリップボードからのデータ漏洩や、フィッシング攻撃に気付かないリスクが生じます。

出所： オープンネット.ru