Cookieを許可したらアカウント情報が流出!? パスワード自動入力を悪用した攻撃に注意

　セキュリティ企業のSocketは8月20日、パスワードマネージャーが持つアカウント情報などの自動入力機能を悪用した攻撃について紹介。自動入力の表示の上に、別の要素を重ねて表示することで、ユーザーが意図せずプライベート情報を入力してしまうように仕向ける「クリックジャッキング攻撃」が可能だとし、注意を呼びかけている。

　この手法は、世界最大級のハッキング/セキュリティカンファレンスであるDEF CON 33にて、セキュリティ研究者のMarek Tóth氏が報告したもの。パスワードマネージャーには、IDやパスワード、クレジットカード番号などの自動入力機能を持つものがあるが、これを悪用して機密情報の窃取を狙うという。

　具体的には、Webページのログインフォーム周辺に出現する自動入力候補の上に、別の要素を重ねて表示されるよう細工する。ユーザーから見ると、上層に表示された要素しか見えないため、意図せず自動入力を実行してしまい、機密情報を送信してしまう可能性がある。具体的には、Cookieの利用の可否を確認するような表示が出てきて、「許可」の部分をクリックしたはずが、実際はその下に隠れている自動入力の候補をクリックしまうため、機密情報が入力されて盗まれてしまうといったかたちだ。

ログインフォームや自動入力表示を隠し、ユーザーがクリックするよう表示を細工することで、機密情報の窃取を狙う

　パスワードマネージャーの自動入力は、基本的に正しいドメインでしか機能しないように設計されている。しかし、クロスサイトスクリプティング攻撃やサブドメインの乗っ取りなどと組み合わせることで、この手法によって機密情報を窃取される恐れがあるという。

　報告によれば、1Password、Bitwarden、iCloudパスワード、LastPassなど主要なパスワードマネージャーにおいて現在も悪用可能な状態だという。一方でDashlane、NordPass、Proton Pass、Keeperといった製品では緩和策が施されている。Socketでは、自動入力前にダイアログ表示を行なうよう実装を変更することで、安全性を高められると指摘している。

　また、Tóth氏はユーザー側でできる対策として、フォーム部分で選ぶタイプの自動入力機能の無効化する(コピー&ペーストのみ使う)、自動入力を有効にするURLを完全一致に変更する、拡張機能の設定を変更するといった方法を挙げている。