# DEF CON 2025 ## 概要 DEF CON 33で、ある研究者がクリックジャッキング (UIリドレッシング) という、ユーザーに本来の目的とは異なるUI要素を誤ってクリックさせる攻撃手法について発表を行いました。発表では、悪意のあるサイトがパスワードマネージャーの自動入力ボタンを透明にして画面上に重ね、ユーザーに気づかれないままクリックさせるというシナリオが紹介されました。 Keeperでは既にクロスドメインでの自動入力をブロックしていますが、今回の指摘を受け、その研究者と協力しながらブラウザ拡張機能をさらに強化しました (詳細については以下をご覧ください)。私たちはセキュリティ研究コミュニティを重視しており、常に研究者の皆様と協力してお客様の情報の保護に努めています。 ## 対応状況 * **2025年4月9日**: 研究者より報告。Keeperはすでに信頼されていないドメインからの自動入力をブロックしており、低リスクと評価。 * **2025年4月15日**: 8日以内にテスト修正版を提供。研究者からは迅速な対応が評価されました。 * **2025年5月26日**: ブラウザ拡張機能[v17.1.2](/release-notes/jp/browser/browser-extension/browser-extension-version-17.1.2.md)にて修正をリリース。 * **2025年7月25日**: 想定外のケースへの追加対策を[v17.2.0](/release-notes/jp/browser/browser-extension/browser-extension-version-17.2.md)にて実装。 * **2025年10月14日**: クリックジャッキング対策を強化するため、自動入力確認モードを[v17.3.0](/release-notes/jp/browser/browser-extension/browser-extension-version-17.3.0.md)にて実装。拡張機能の設定メニューから有効化可能で、この機能により、自動入力が実行されるたびにユーザーへ確認が求められます。 ## Keeperの保護機能 Keeperのブラウザ拡張機能は、ユーザーが保存したウェブサイトに対してのみ、認証情報や決済情報を自動入力するよう設計されています。そのため、情報が保存されていないサイトで自動入力が行われることはなく、クロスドメインでの自動入力は一切許可されません。 ユーザーは、さらに厳格な制御として「サブドメインまで完全一致する場合のみ自動入力を許可する」設定を有効にできます。この設定はブラウザ拡張機能で有効化できるほか、管理者が管理コンソールのポリシーを通じて組織全体に適用することもできます。 また、決済カードや住所情報の自動入力は、対象のサイトがユーザーのボルト内に保存されたレコードと一致し、かつユーザーがそのサイト用に情報を保存している場合にのみ行われます。一致するレコードが存在しない場合、ユーザーはブラウザのポップアップを通じて自動入力操作を手動で確認する必要があります。 ## 報告された挙動 研究者が報告したシナリオは、以下の条件を前提としていました。 1. 悪意のあるウェブサイトや侵害されたウェブサイト向けに、Keeperレコードを保存している。 2. そのサイトを再訪する。 3. 透明なKeeperの自動入力インターフェースが重ねられたUI要素を複数回クリックする。 このケースでは、ユーザーはすでにそのウェブサイトを信頼し、正確に同じルートドメインの認証情報をボルトに保存していることが前提となっています。この前提がない限り、自動入力が開始されることはなく、別の無関係なルートドメインから自動入力を誘発する手段 (ベクター) は存在しません。 つまり、同一ドメインに対してユーザーが信頼して保存しているという状況に依存しているため、クロスドメイン攻撃の可能性はありません。この点から、報告された問題は低リスクと評価されましたが、Keeperでは予防措置としてさらなる保護策を実装しました。 ## 更新 Keeperブラウザ拡張機能は、Chrome、Firefox、Edge、Safari、BraveなどのChromiumベースのブラウザで自動更新されます。ユーザー側での追加の操作は不要です。バージョン17.2および17.3は、それぞれ2025年7月25日、2025年10月15日に自動配信されました。 ## お問い合わせ ご不明な点がございましたら、以下のメールアドレスまでご連絡ください。\ --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/release-notes/jp/keeper-security/security-advisories/def-con-2025.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.