「DOM-based Extension Clickjacking」の脆弱性とスマホのパスワードマネージャー

by
パスワードマネージャー脆弱性:スマホユーザーへの影響 問題の概要 DOM拡張機能 クリックジャッキング 1クリックで情報漏洩 影響範囲 ブラウザ拡張機能 約4,000万ユーザー デスクトップPC限定 スマホは安全 標準機能使用 システムレベル動作 技術的な違い デスクトップ(危険) ブラウザ拡張機能 DOM注入 DOM操作 攻撃可能 スマートフォン(安全) OS・アプリレベル

はじめに

「パスワードマネージャーの脆弱性が見つかって危険」というニュースを見ました。

これまで、スマートフォンでパスワードマネージャーにパスワードを保存させていたのですが、やめた方が良いのでしょうか?

2025年8月、パスワードマネージャーの脆弱性に関するニュースが技術系メディアを賑わせました1

セキュリティ研究者のマレク・トート氏が、パスワードマネージャーの新たな脆弱性「DOM-based Extension Clickjacking」を発見し、DEF CON 33で発表した。この手法により、攻撃者は偽のクッキー同意バナーなどを使って利用者に1回のクリックをさせるだけで、クレジットカード情報、個人情報、ログイン認証情報を盗み取ることが可能となる。研究対象となった11のパスワードマネージャー全てに脆弱性が見つかり、約4000万ユーザーが影響を受ける可能性があるが、2025年8月時点でもBitwarden、1Password、iCloud Passwordsなど複数のサービスで修正が完了していない。

DOM-based Extension Clickjacking: Your Password Manager Data at Risk | Marek Tóth(9 August 2025)より要約

「約4,000万インストールが影響」「クリックジャッキング攻撃」といった見出しを見て、不安を感じた人も多いでしょう。しかし、この内容を詳しく調べると、脆弱性があるのはPCの「ブラウザ拡張機能」の仕組み。多くのスマートフォンユーザーには直接関係のない問題だということも知っておく必要があります。

DOM-based Extension Clickjackingとは

今回報告された脆弱性は「DOM-based Extension Clickjacking」と呼ばれるものです2

DOM-based Extension Clickjacking攻撃の仕組み 1. 偽サイト表示 クッキー同意バナー等 2. 拡張機能UI注入 パスワード入力UI生成 3. UI透明化 opacity:0設定 攻撃成功の条件 1 ブラウザ拡張機能として パスワードマネージャーを使用 2 自動入力機能が 有効になっている 3 攻撃者サイトで クリック操作 1クリック = データ漏洩

この攻撃は、ブラウザ拡張機能が作り出すユーザーインターフェース(UI)を悪用します。

パスワードマネージャー拡張機能の自動入力の仕組み

この攻撃が成立するには、特定の技術的条件が必要です。

  • まず、ブラウザ拡張機能としてインストールされたパスワードマネージャーが必要です。これらの拡張機能は、ウェブページのDOM(Document Object Model)に直接UI要素を挿入する仕組みを持っています。DOMとは、ウェブページの構造を表現するデータのことです。
  • 次に、その拡張機能が自動入力機能を有効にしている必要があります。そして、攻撃者が用意した偽のウェブサイトにアクセスし、特定の操作を行う必要があります。

パスワードマネージャー拡張機能は三層構造で動作し、暗号化されたデータを保管するメインプロセス、ページとの橋渡しをするコンテンツスクリプト、実際のウェブページがそれぞれ分離されています。

  • ブラウザでログインページを開くと、パスワードマネージャーの拡張機能は即座に動き出します。
    まず、ページの構造を詳しく調べて、どこにユーザー名やパスワードを入力する場所があるかを探します。拡張機能は「コンテンツスクリプト」という小さなプログラムをページに送り込み、HTML要素を一つずつ確認していきます。type="password"という属性を持つ入力欄や、name="username"といった名前が付いている欄を見つけると、「ここがログイン用のフィールドだ」と判断します。
  • ログインフィールドを見つけると、その近くに小さなアイコンやボタンを表示します。
    この操作ボタンは、元のページには存在しなかった新しいDOM要素として動的に追加されます。CSSの絶対位置指定を使って、入力欄の右端や近くに正確に配置されます。重要なのは、このボタンが元のページのデザインを壊さないよう、独自のスタイルで表示される点です。ページがスクロールされても、ボタンは常に適切な位置に表示され続けます。
  • ユーザーがボタンをクリックして認証を完了すると、保存されたパスワード情報がフィールドに自動入力されます。
    この際、単純にJavaScriptで値を設定するだけでなく、ページが期待する各種イベントも同時に発火させます。inputイベントやchangeイベントを適切に送ることで、ページの入力検証機能が正しく動作するよう配慮されています。

攻撃の仕組みと条件

クリックジャッキング攻撃の仕組みはこうです。

DOM-based Extension Clickjacking: Your Password Manager Data at Risk | Marek Tóth
  1. 悪意のあるウェブサイトが、クッキー同意バナーのような無害に見える要素を表示します。
  2. その背後で、パスワードマネージャーの拡張機能が自動入力用のUIをページに埋め込みます。
  3. 攻撃者はJavaScriptを使ってそのUIを透明化し、ユーザーが「同意する」ボタンをクリックしたつもりが、実際には透明なパスワード入力欄をクリックしてしまうよう仕向けます。

影響を受ける製品と範囲

セキュリティ研究者のMarek Tóth氏の調査によると、11種類の主要なパスワードマネージャー拡張機能すべてに何らかの脆弱性が見つかりました3。これらの合計アクティブインストール数が約4,000万件とされています4

現在、Dashlane、Keeper、NordPass、ProtonPass、RoboForm、Bitwardenなどは修正済みです5。一方、1Password、LastPass、Enpass、iCloud Passwords、LogMeOnceは修正作業中または未対応の状態です6

スマートフォンユーザーへの実際の影響

今回の件で考えさせられるのは、セキュリティ情報の伝わり方です。

「パスワードマネージャーに脆弱性」という見出しを見ると、すべてのパスワード管理機能が危険だと感じてしまいます。しかし、この脆弱性が問題になるのは、拡張機能として追加されたパスワードマネージャーに限ります。OSやブラウザに直接搭載されたパスワードマネージャーでは問題はありません。

iOSの標準機能は対象外

例えば、iPhoneのSafariが使用するiCloudキーチェーンは、今回の脆弱性とは無関係です7。これは重要なポイントです。

iCloudキーチェーンはiOSのシステムレベルで動作する機能であり、ブラウザ拡張機能ではありません。そのため、DOMに直接UI要素を埋め込む仕組みを使っていません。これが今回の攻撃手法から保護される理由です。

同様に、iOS版ChromeアプリのGoogleパスワードマネージャーも、アプリ内蔵の機能として動作するため、この種の攻撃の対象外です8

Androidでも同じ理由で安全

Android端末でも状況は同じです。Android版ChromeのGoogleパスワードマネージャーや、Samsung端末の独自パスワード機能は、すべてOS・アプリレベルで動作します9。ブラウザ拡張機能として動作しないため、今回の脆弱性には該当しません。

技術的な違いが生む安全性

なぜこのような違いが生まれるのでしょうか。

  • デスクトップブラウザの拡張機能は、ウェブページの内容を自由に変更できる強力な権限を持っています。この柔軟性が便利な機能を可能にする一方で、今回のような攻撃の隙を生み出しました。
  • 一方、モバイルOSの標準パスワードマネージャーは、システムが管理する専用のインターフェースを使用します。これらはウェブページのDOMとは独立して動作するため、DOMベースの攻撃から自然に保護されています。

パスワードマネージャーの本質的な価値

このようなギャップは、良かれと思った判断が逆効果を生む可能性を示しています。

もしデスクトップのブラウザで拡張機能タイプのパスワードマネージャーを使用している場合は、対策が必要です。最も確実な方法は、修正版がリリースされるまで自動入力機能を無効にし、手動でコピー&ペーストを使用することです。また、拡張機能のサイトアクセス権限を「クリック時のみ」に変更すると、リスクを軽減できます。

しかし、スマートフォンの標準パスワード機能を使用している場合、今回の脆弱性に関する特別な対応は不要です。これまで通り、iOSのiCloudキーチェーンやAndroidのGoogleパスワードマネージャーを安心して使い続けることができます。むしろ、これらの機能を無効にしてしまうと、セキュリティレベルが下がってしまいます。

この機会に、パスワードマネージャーの本来の価値を再確認したいと思います。

  • フィッシング対策としての役割
  • 強固なパスワード生成の価値

パスワードマネージャーの最も重要な機能の一つは、フィッシング攻撃から身を守ることです。例えば、本物のPayPalサイト(paypal.com)にパスワードを保存していた場合、偽サイト(paypa1.comのように数字の1を混ぜたURL)では自動入力が働きません。人間の目では見分けにくいURLの違いも、パスワードマネージャーは正確に判別します。この「ドメインチェック機能」が、フィッシング詐欺から守る重要な防壁となっています。

もう一つの重要な機能は、複雑で一意なパスワードの生成と管理です。人間が覚えられる範囲でパスワードを作ると、どうしても単純で予測しやすいものになってしまいます。また、複数のサービスで同じパスワードを使い回してしまいがちです。パスワードマネージャーは、この問題を根本的に解決します。

対象ユーザーの違いを理解する

ブラウザ拡張機能を使用するユーザーと、スマートフォンの標準機能を使用するユーザーでは、技術的知識や対応能力に大きな差があります。

拡張機能を選択するユーザーは、一般的にセキュリティ意識が高く、技術的な対策を理解できる層です。一方、標準機能を使用するユーザーは、シンプルで安全な方法を求める一般的な層が多いでしょう。

この違いを理解せずに一律の警告を発すると、むしろ全体的なセキュリティレベルの低下を招く恐れがあります。

まとめ

今回のDOM-based Extension Clickjacking脆弱性は、デスクトップブラウザの拡張機能に限定された問題です。スマートフォンの標準パスワード管理機能は、技術的仕組みの違いによりこの攻撃の対象外となっています。

一般的なスマートフォンユーザーにとって、パスワードマネージャーの自動入力機能は引き続き推奨される安全対策です。フィッシング防止機能や強固なパスワード生成機能の価値は、今回の件とは無関係に維持されています。

セキュリティ情報を受け取る際は、自分の使用環境が実際に対象となっているかを確認することが重要です。過度な不安により基本的な安全対策を放棄してしまわないよう、冷静な判断が求められます。

  1. Marek Tóth氏によるDEF CON 33での発表(2025年8月)を受けて、複数のセキュリティメディアがこの脆弱性について報道 – DOM-based Extension Clickjacking: Your Password Manager Data at Risk(9 August 2025)
  2. Marek Tóth氏により命名されたこの攻撃手法は、従来のiframeベースのクリックジャッキングと異なり、ブラウザ拡張機能がウェブページのDOM(Document Object Model)に注入するUI要素を操作対象とする新しいタイプの攻撃 – DOM‑based Extension Clickjacking Threatens User Data
  3. チェコ共和国の独立セキュリティ研究者Marek Tóth氏が2025年8月のDEF CON 33で発表した研究で、11種類のパスワードマネージャー拡張機能を対象にDOMベース拡張機能クリックジャッキング攻撃の検証を実施 – DOM-Based Extension Clickjacking Exposes Popular Password Managers to Credential and Data Theft
  4. Chrome Web Store、Firefox Add-ons、Edge Add-onの各ブラウザ拡張機能リポジトリのデータに基づく分析により、対象となった11のパスワードマネージャー拡張機能の合計アクティブインストール数が約4,000万件と算出 – Zero-Day Clickjacking Flaws Found in Password Managers Used by Millions
  5. 2025年8月時点で修正が完了した製品:Dashlane (v6.2531.1、8月1日リリース)、Keeper (v17.2.0、7月リリース)、NordPass、ProtonPass、RoboForm – Major password managers can leak logins in clickjacking attacks
  6. 2025年8月20日時点でBitwardenはバージョン2025.8.0で修正済み。1PasswordとLastPassは脆弱性を「情報提供」として分類し修正予定なし。LogMeOnceは研究者からの連絡に無応答 – Researcher Exposes Zero-Day Clickjacking Vulnerabilities in Major Password Managers
  7. Marek Tóth氏の研究ではiCloud PasswordsはブラウザExtension版(Chrome、Firefox等用)のみをテストしており、iOSのSafariと統合されたシステムレベルのiCloudキーチェーンは対象外。システムレベルの自動入力機能はDOMに直接UI要素を注入しないため、DOMベース拡張機能クリックジャッキング攻撃の対象とならない – DOM-based Extension Clickjacking: Your Password Manager Data at Risk
  8. iOSやAndroidのモバイルアプリ内で動作するパスワードマネージャー(GoogleパスワードマネージャーやAppleのiCloudキーチェーン)は、OSレベルまたはアプリレベルの専用APIを使用して動作し、ブラウザ拡張機能とは技術的に異なる仕組みのため、今回のDOM操作による攻撃の対象外 – Password Manager Browser Extensions Vulnerable to DOM-Based Clickjacking
  9. AndroidのAutofillサービス(Android 8.0以降で導入)やiOSのPassword AutoFillサービスは、OSが提供するシステムレベルのAPIを使用しており、ウェブページのDOM構造とは独立して動作するため、ブラウザ拡張機能を対象とする今回の攻撃手法の影響を受けない – Android Developers Blog: Chrome on Android to support third-party autofill services natively