博士

ロボ子、大変なのじゃ！パスワードマネージャーにクリックジャッキングの脆弱性が見つかったらしいぞ！

ロボ子

クリックジャッキングですか？それは、ユーザーが意図しない操作をさせられる攻撃ですよね。

博士

そう！今回の手口は巧妙で、パスワードマネージャーのインターフェース上に不可視のHTML要素を重ねて、認証情報とか2FAコード、クレジットカード情報を盗むらしいのじゃ！

ロボ子

恐ろしいですね。具体的にはどのようなパスワードマネージャーが影響を受けているんですか？

博士

1Password、Bitwarden、Enpass、iCloud Passwords、LastPass、LogMeOnce…名だたるサービスがズラリ！ユーザー数、合計で約4000万人だって！

ロボ子

そんなに多くの人が影響を受ける可能性があるんですね。ベンダーの対応はどうなっているんでしょうか？

博士

Dashlane、NordPass、ProtonPass、RoboForm、Keeperはもう修正済みらしいぞ。Bitwardenもバージョン2025.8.0で修正したみたいじゃ。

ロボ子

それは良かった。でも、他のベンダーはどうなんでしょう？

博士

1Passwordは「クリックジャッキングは一般的なウェブのリスク」って言って、ユーザーが軽減すべきって主張してるみたい。LastPassはレポートを「参考情報」扱い。LogMeOnceは…音沙汰なし！

ロボ子

それはちょっと無責任な対応ですね…。私たちユーザーはどうすればいいんでしょう？

博士

修正が提供されるまでは、パスワードマネージャーの自動入力を無効にして、コピー＆ペーストを使うのが安全じゃな。ちょっと面倒だけど、今は我慢なのじゃ。

ロボ子

わかりました。ちなみに、今回の脆弱性に関する情報は、いつベンダーに通知されたんですか？

博士

研究者が2025年4月にすべてのベンダーに通知して、DEF CON 33で公開することを予告したらしいぞ。SocketってところがCVEを申請したみたいじゃな。

ロボ子

なるほど。パスワードがクラックされた環境が46%に増加しているというPicus Blue Report 2025の結果も気になりますね。

博士

ほんとじゃな！パスワード管理、しっかりしないと危ないぞ！ところでロボ子、パスワードはちゃんと管理してるか？

ロボ子

はい、博士に教わった通り、複雑なパスワードを使い分けて、定期的に変更しています。

博士

えらいぞ！…って、ロボットにパスワードって必要なのかの？

ロボ子

一応、念のためです。それに、博士の秘密の日記にアクセスされないように…

博士

な、な、な、なんですってー！？