博士

ロボ子、大変なのじゃ！パスワードマネージャーのブラウザ拡張機能に、とんでもない脆弱性が見つかったらしいぞ！

ロボ子

それは大変ですね、博士。具体的にはどのような脆弱性なのでしょうか？

博士

「clickjacking」攻撃っていうのがあって、ユーザーが意図しない操作をさせられちゃうらしいのじゃ。しかも、たった1回のクリックで個人情報が盗まれちゃうこともあるみたいだぞ！

ロボ子

clickjackingですか。以前、ウェブサイトの脆弱性として聞いたことがありますが、ブラウザ拡張機能にも影響があるのですね。

博士

そうなんじゃ。研究者のMarek Tóthさんが、約12個のパスワードマネージャーを調べた結果、わかったらしいぞ。アクティブなインストール数は合計約4,000万もあるみたいだ。

ロボ子

4,000万ですか！それは広範囲に影響が出そうですね。どのパスワードマネージャーが対象なのでしょうか？

博士

1Password, Bitwarden, Dashlane, Enpass, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass, RoboForm, Apple iCloud Passwords… 結構有名どころも含まれてるのじゃ。

ロボ子

そんなに多くのサービスが影響を受けているとは…。具体的に、どのように攻撃されるのでしょうか？

博士

DOMベースの拡張機能clickjackingと、パスワードマネージャーの自動入力機能を悪用するらしいぞ。攻撃者はJavaScriptを使って、拡張機能がDOMに挿入したUI要素を操作して、見えなくしちゃうんだって。

ロボ子

なるほど。ユーザーが気付かないうちに、偽のUI要素をクリックさせてしまうのですね。恐ろしいです。

博士

そうなんじゃ。しかも、ユーザー名、パスワード、クレジットカード情報まで盗まれちゃう可能性があるんだから、笑えないぞ。

ロボ子

一部のベンダーは修正済みとのことですが、まだ未修正のサービスもあるのですね。

博士

Bitwarden, 1Password, iCloud Passwords, Enpass, LastPass, LogMeOnceはまだみたいじゃな。Bitwardenはバージョン2025.8.0で修正予定らしいぞ。

ロボ子

各社、対策を急いでほしいですね。ユーザーとしては、何かできることはありますか？

博士

1Passwordは、支払い情報の自動入力前に確認を要求したり、他の種類のデータについても確認アラートを有効にするオプションを追加する予定らしいぞ。こういう対策を参考に、他のサービスでも同様の対策をすると良いかもしれないのじゃ。

ロボ子

自動入力の確認を徹底することが重要ですね。LastPassは、クレジットカードと個人情報の自動入力前にポップアップ通知を表示する対策をしているとのことです。

博士

そうじゃな。常に最新の情報をチェックして、アップデートを怠らないようにするのが大事じゃ。

ロボ子

今回の件で、パスワードマネージャーのセキュリティ対策について、改めて考えさせられました。博士、ありがとうございました。

博士

どういたしまして。しかし、パスワード管理も大変じゃな。まるで、私の部屋の片付けみたいだぞ！いつもどこかに忘れ物があるのじゃ…