-
- Photo credit: othree on Visualhunt.com
※イメージ画像です。
折角の便利機能が...
【多くのパスワードマネージャが未対応】
窓の杜で紹介されていた、最新の「DOM-based Extension Clickjacking」というパスワード盗み取り技術がエグすぎる。
詳細は記事でご確認頂ければと思いますが、パスワードマネージャーは多くの場合、パスワードを入力する欄にカーソルを当てるとオートフィル(自動入力)が働くようになっていますが、それを利用して偽の入力欄を表示させ、自動入力させてしまう、という手口なのだそうです。
こんな風になるそうです。
1PasswordやBitwardenやiCloud等のパスワードマネージャーへのクリックジャッキング攻撃をデモで体験してきました。
— モノアイ (@mono_i_love) August 20, 2025
まだ修正されていない脆弱性であり、攻撃のデモサイトで見事に引っかかってクレカ情報を抜き取られてしまったので、ご紹介しておきます。 pic.twitter.com/CaNlMfyPJ1
有料、無料のパスワードマネージャーでこの手口の対策を出来ているものは少ないため、注意が必要だ、と記事は伝えています。
現在の対策としては、パスワードマネージャーが対応していない状態なら、オートフィル機能をオフっておくしかないですかね。
不便極まりなくなりますが、詐欺にひっかかるよりはマシです。
セキュリティはいたちごっこ、とはよく言ったものです。
やめてほしいですね。
パスワードマネージャーを利用している方は注意しましょう。
【関連記事】
一年あればお金貯めれる?まもなくサポートが切れるWin10を一年延命させる方法
覚えておこう、警察庁、ランサムウェア「Phobos/8Base」で暗号化されたファイルの復号ツール公開
いいかもしれない、でもちょっとカルト臭のする防犯カメラ
中小製造業のセキュリティ担当の人は、どうぞ、『今すぐ実践できる工場セキュリティハンドブック サイバー対応 IT-BCP編』
情報を抜かれるのは入力時、登録しているほうが安全かも、というお話
Follow @norimenKF
