DEF CON 2025でのクリックジャッキングに関する発表への対応
DEF CON 33で、ある研究者がクリックジャッキング (UIリドレッシング) という、ユーザーに本来の目的とは異なるUI要素を誤ってクリックさせる攻撃手法について発表を行いました。発表では、悪意のあるサイトがパスワードマネージャーの自動入力ボタンを透明にして画面上に重ね、ユーザーに気づかれないままクリックさせるというシナリオが紹介されました。
Keeperでは既にクロスドメインでの自動入力をブロックしていますが、今回の指摘を受け、その研究者と協力しながらブラウザ拡張機能をさらに強化しました (詳細については以下をご覧ください)。私たちはセキュリティ研究コミュニティを重視しており、常に研究者の皆様と協力してお客様の情報の保護に努めています。
2025年4月9日: 研究者より報告。Keeperはすでに信頼されていないドメインからの自動入力をブロックしており、低リスクと評価。
2025年4月15日: 8日以内にテスト修正版を提供。研究者からは迅速な対応が評価されました。
2025年5月26日: ブラウザ拡張機能にて修正をリリース。
2025年7月25日: 想定外のケースへの追加対策をにて実装。
Keeperのブラウザ拡張機能は、ユーザーが保存したウェブサイトに対してのみ、認証情報や決済情報を自動入力するよう設計されています。そのため、情報が保存されていないサイトで自動入力が行われることはなく、クロスドメインでの自動入力は一切許可されません。
ユーザーは、さらに厳格な制御として「サブドメインまで完全一致する場合のみ自動入力を許可する」設定を有効にできます。この設定はブラウザ拡張機能で有効化できるほか、管理者が管理コンソールのポリシーを通じて組織全体に適用することもできます。
また、決済カードや住所情報の自動入力は、対象のサイトがユーザーのボルト内に保存されたレコードと一致し、かつユーザーがそのサイト用に情報を保存している場合にのみ行われます。一致するレコードが存在しない場合、ユーザーはブラウザのポップアップを通じて自動入力操作を手動で確認する必要があります。
研究者が報告したシナリオは、以下の条件を前提としていました。
悪意のあるウェブサイトや侵害されたウェブサイト向けに、Keeperレコードを保存している。
そのサイトを再訪する。
透明なKeeperの自動入力インターフェースが重ねられたUI要素を複数回クリックする。
このケースでは、ユーザーはすでにそのウェブサイトを信頼し、正確に同じルートドメインの認証情報をボルトに保存していることが前提となっています。この前提がない限り、自動入力が開始されることはなく、別の無関係なルートドメインから自動入力を誘発する手段 (ベクター) は存在しません。
つまり、同一ドメインに対してユーザーが信頼して保存しているという状況に依存しているため、クロスドメイン攻撃の可能性はありません。この点から、報告された問題は低リスクと評価されましたが、Keeperでは予防措置としてさらなる保護策を実装しました。
Keeperブラウザ拡張機能v17.2はChrome、Firefox、Edge、Safari、Braveなどのブラウザで自動更新されます。ユーザー側で追加の操作は不要です。
ご不明な点などございましたら、[email protected]までお問い合わせください。
最近のセキュリティ勧告とKeeperへの影響のお知らせ
様々なシステム向けに新しいセキュリティ勧告がオンラインで発表された際に、関連情報をこちらに掲載いたします。
Apache Guacamoleにおける配列インデックスの不適切な検証
https://nvd.nist.gov/vuln/detail/CVE-2024-35164
Apache Guacamole 1.5.5およびそれ以前のバージョンのターミナルエミュレータは、SSHなどのテキストベースのプロトコルを介してサーバーから受信したコンソールコードを適切に検証していません。悪意のあるユーザーがテキストベースの接続にアクセスできる場合、特別に細工されたコンソールコードのシーケンスにより、guacdプロセスが実行される権限で任意のコードを実行される可能性があります。この問題は、バージョン1.6.0で修正されており、ユーザーにはアップグレードを推奨しています。
Keeperは、2024年12月7日にリリースされたにて、この問題を修正した更新を展開しました。
セキュリティ関連のお問い合わせは以下のメールアドレスまでご連絡ください。 メールアドレス: [email protected]
Black Hat EU 2023の「AutoSpill」レポートについて
Black Hat EU 2023のプレゼンテーションで、モバイルパスワードマネージャーでの認証情報の盗難について説明がありました。影響を受けるアプリケーションとしてKeeperが挙げられていましたが、Keeper では、以下に説明するようにこの問題から保護するための安全対策を講じています。
2022年5月31日、Keeperは研究者から潜在的な脆弱性に関する報告を受けました。そのため、報告された問題を実証する動画を研究者に要求しました。分析の結果、研究者はまず悪意のあるアプリケーションをインストールし、その後、Keeperからのポップアップ指示を受け入れて、悪意のあるアプリケーションをKeeperパスワードレコードに強制的に関連付けたことが判明しました。
Keeperには、信頼できないアプリケーションやユーザーが許可していないサイトに認証情報を自動的に入力するのを防ぐための安全策が講じられています。Androidプラットフォームでは、Androidアプリケーションやウェブサイトに認証情報を自動入力しようとすると、Keeperからメッセージが表示されます。ユーザーは、情報を入力する前に、アプリケーションとKeeperパスワードレコードの関連付けを確認するよう求められます。6月29日、この情報を研究者に通知しするとともに、Androidプラットフォームに特に関連しているため、レポートをGoogleに提出するよう勧めました。
通常、悪意のあるAndroidアプリケーションは、まずGoogle Playストアに送信され、Googleによる審査を経て、Google Playストアへの公開が承認される必要があります。その後、ユーザーはGoogle Playから悪意のあるアプリケーションをインストールし、そのアプリケーションで取引を行う必要があります。あるいは、悪意のあるアプリケーションを公式ストア以外からロードするには、ユーザーがデバイスの重要なセキュリティ設定を上書きする必要があります。
Keeperでは、インストールするアプリケーションについては常に注意し、Google Playストアなどの信頼できるアプリストアに公開されているAndroidアプリケーションのみをインストールすることを推奨しています。
以下は、Keeperの保護機能のスクリーンショットとなります。ユーザーは、特定の認証情報を取得して入力するアプリケーションを信頼するように求められます。このセキュリティ機能は数年前から導入されており、追加の更新は必要ありません。
このAndroidアプリのデモは、以下のKeeperの公開Githubリポジトリでご覧いただけます。
スマートフォンを安全に保つ方法については、以下のウェブページをご覧ください:
ご質問などございましたら、[email protected]までメールでお問い合わせください。
HTTP/2プロトコルによるサービス拒否 (DoS) 攻撃
https://nvd.nist.gov/vuln/detail/CVE-2023-44487
HTTP/2プロトコルには、リクエストのキャンセルが複数のストリームを迅速にリセットできるため、サーバーのリソースを大量に消費させる可能性があり、これがサービス拒否 (DoS) 攻撃を引き起こす原因となります。この脆弱性は、2023年8月から10月にかけて実際に悪用されました。
Keeper Securityのアプリケーションサーバーは、AWS Shieldによって保護されており、DDoS攻撃から守られています。そのため、Keeperはこの攻撃には影響を受けません。詳細については、に掲載されています。
セキュリティ関連のお問い合わせは、以下のメールアドレスまでご連絡ください。 メールアドレス: [email protected]
Oracle Java SE、Oracle GraalVMに 「サイキックシグネチャー」の脆弱性
https://nvd.nist.gov/vuln/detail/CVE-2022-21449
Oracle Java SE の Oracle GraalVM Enterprise Edition 製品 (コンポーネント: ライブラリ) に脆弱性が存在しています。
Oracle リンク:
Keeper Securityはこの脆弱性の影響を受けません。KeeperはOracleが報告した、影響を受けるJavaランタイムを使用していません。また、Keeperは組み込みJavaライブラリのECDSA実装を使用しません。KeeperはECDSA実装にBouncyCastleを使用しており、影響はありません。