DEF CON 2025

概要

DEF CON 33で、ある研究者がクリックジャッキング (UIリドレッシング) という、ユーザーに本来の目的とは異なるUI要素を誤ってクリックさせる攻撃手法について発表を行いました。発表では、悪意のあるサイトがパスワードマネージャーの自動入力ボタンを透明にして画面上に重ね、ユーザーに気づかれないままクリックさせるというシナリオが紹介されました。

Keeperでは既にクロスドメインでの自動入力をブロックしていますが、今回の指摘を受け、その研究者と協力しながらブラウザ拡張機能をさらに強化しました (詳細については以下をご覧ください)。私たちはセキュリティ研究コミュニティを重視しており、常に研究者の皆様と協力してお客様の情報の保護に努めています。

対応状況

• 2025年4月9日: 研究者より報告。Keeperはすでに信頼されていないドメインからの自動入力をブロックしており、低リスクと評価。

• 2025年4月15日: 8日以内にテスト修正版を提供。研究者からは迅速な対応が評価されました。

• 2025年5月26日: ブラウザ拡張機能v17.1.2にて修正をリリース。

• 2025年7月25日: 想定外のケースへの追加対策をv17.2.0にて実装。

Keeperの保護機能

Keeperのブラウザ拡張機能は、ユーザーが保存したウェブサイトに対してのみ、認証情報や決済情報を自動入力するよう設計されています。そのため、情報が保存されていないサイトで自動入力が行われることはなく、クロスドメインでの自動入力は一切許可されません。

ユーザーは、さらに厳格な制御として「サブドメインまで完全一致する場合のみ自動入力を許可する」設定を有効にできます。この設定はブラウザ拡張機能で有効化できるほか、管理者が管理コンソールのポリシーを通じて組織全体に適用することもできます。

また、決済カードや住所情報の自動入力は、対象のサイトがユーザーのボルト内に保存されたレコードと一致し、かつユーザーがそのサイト用に情報を保存している場合にのみ行われます。一致するレコードが存在しない場合、ユーザーはブラウザのポップアップを通じて自動入力操作を手動で確認する必要があります。

報告された挙動

研究者が報告したシナリオは、以下の条件を前提としていました。

1. 悪意のあるウェブサイトや侵害されたウェブサイト向けに、Keeperレコードを保存している。

2. そのサイトを再訪する。

3. 透明なKeeperの自動入力インターフェースが重ねられたUI要素を複数回クリックする。

このケースでは、ユーザーはすでにそのウェブサイトを信頼し、正確に同じルートドメインの認証情報をボルトに保存していることが前提となっています。この前提がない限り、自動入力が開始されることはなく、別の無関係なルートドメインから自動入力を誘発する手段 (ベクター) は存在しません。

つまり、同一ドメインに対してユーザーが信頼して保存しているという状況に依存しているため、クロスドメイン攻撃の可能性はありません。この点から、報告された問題は低リスクと評価されましたが、Keeperでは予防措置としてさらなる保護策を実装しました。

更新

Keeperブラウザ拡張機能v17.2はChrome、Firefox、Edge、Safari、Braveなどのブラウザで自動更新されます。ユーザー側で追加の操作は不要です。

お問い合わせ

ご不明な点などございましたら、[email protected]までお問い合わせください。