<p data-line="0" class="code-line">こんにちは、TRUSTDOCKのよもぎたです。<strong>GASでSlackbot作ってるおじさん化</strong>が激しい最近の私ですが、本来の所属は情報セキュリティ部です。たまにはそれっぽい記事も書いてみたいと思います。</p>
<h1 id="%E6%A6%82%E8%A6%81" data-line="2" class="code-line">
<a class="header-anchor-link" href="#%E6%A6%82%E8%A6%81" aria-hidden="true"></a> 概要</h1>
<p data-line="3" class="code-line">この記事は、こちらのツイートで話題の「1PasswordやBitwardenやiCloud等のパスワードマネージャーへのクリックジャッキング攻撃」について、いま私たちが出来ること、私が理解できたことをまとめた記事です。</p>
<span class="embed-block zenn-embedded zenn-embedded-tweet"><iframe id="zenn-embedded__e568701db1f17" src="https://embed.zenn.studio/tweet#zenn-embedded__e568701db1f17" data-content="https%3A%2F%2Fx.com%2Fmono_i_love%2Fstatus%2F1957968191260619035" frameborder="0" scrolling="no" loading="lazy"></iframe></span>
<aside class="msg alert"><span class="msg-symbol">!</span><div class="msg-content">
<p data-line="8" class="code-line">この記事はありとあらゆる銀河系で[1] もっとも無保証で、筆者は読者がこの記事に記載された内容をもとに行ったアクションとその結果ついて、あるいはアクションを行わなかったこととその結果について、一切責任を取りません。ご納得いただけない方は、ただちにお引き返し下さい。<br>
この記事の内容は公開時点（2025年08月21日時点）のものとなります。<br>
ちょっと堅苦しくて書きたいわけではないのですが、こういう話題なので一応。</p>
</div></aside>
<details><summary>注釈</summary><div class="details-content">
<p data-line="14" class="code-line">[1] 遠い昔、遥か彼方の銀河系を含みます。[2]<br>
[2] この注釈は何？ → 私がSTAR WARSファンなのでやってみたかったお遊びです。</p>
</div></details>
<p data-line="18" class="code-line">本記事執筆時点の筆者のステータスは次の通りです。</p>
<ul data-line="20" class="code-line">
<li data-line="20" class="code-line">
<a href="https://marektoth.com/blog/dom-based-extension-clickjacking/" target="_blank" rel="nofollow noopener noreferrer">元のレポート：DOM-based Extension Clickjacking: Your Password Manager Data at Risk</a>をざっと斜め読みした</li>
<li data-line="21" class="code-line">読んだ箇所は主に次の通りです
<ul data-line="22" class="code-line">
<li data-line="22" class="code-line">Key Information</li>
<li data-line="23" class="code-line">Mitigation</li>
<li data-line="24" class="code-line">Recommendations for Users</li>
<li data-line="25" class="code-line">Conclusion</li>
</ul>
</li>
</ul>
<h1 id="%E3%81%BE%E3%81%9A%E3%81%8A%E4%BC%9D%E3%81%88%E3%81%97%E3%81%9F%E3%81%84%E3%81%93%E3%81%A8" data-line="27" class="code-line">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%9A%E3%81%8A%E4%BC%9D%E3%81%88%E3%81%97%E3%81%9F%E3%81%84%E3%81%93%E3%81%A8" aria-hidden="true"></a> まずお伝えしたいこと</h1>
<p data-line="29" class="code-line">ChromiumベースのWebブラウザ、Google ChromeやMicrosoft Edgeを使っているならば、入力補助機能があるブラウザ拡張の設定を <strong>「ブラウザ拡張のアイコンをクリックしたときのみ有効化する」設定</strong> にすることをお勧めします。これは完全な対策ではなくて、緩和策です。これを実施して注意して運用すればいくらかの被害の軽減は見込めそうです。</p>
<h2 id="%E6%89%8B%E9%A0%86" data-line="31" class="code-line">
<a class="header-anchor-link" href="#%E6%89%8B%E9%A0%86" aria-hidden="true"></a> 手順</h2>
<p data-line="33" class="code-line">ご案内できるOSはWindows11です。Mac、iOS/iPadOS、Androidなどなど他はごめんなさい。<br>
ご案内できるブラウザはGoogle ChromeとMicrosoft Edgeです。他はごめんなさい。</p>
<h3 id="google-chrome" data-line="36" class="code-line">
<a class="header-anchor-link" href="#google-chrome" aria-hidden="true"></a> Google Chrome</h3>
<ol data-line="38" class="code-line">
<li data-line="38" class="code-line">Chrome右上の「拡張機能」ボタン（パズルのピースみたいなアイコン）をクリックします</li>
<li data-line="39" class="code-line">ブラウザにインストールされているブラウザ拡張の一覧が表示されます</li>
<li data-line="40" class="code-line">その中から、対象のブラウザ拡張（例えば、1Passwordのブラウザ拡張）をピン止めします</li>
<li data-line="41" class="code-line">「ブラウザ拡張」ボタンの左側に、「ブラウザ拡張のアイコン」が表示されます（ややこしいな）</li>
<li data-line="42" class="code-line">「ブラウザ拡張のアイコン」を右クリックし、メニューから「サイトデータの読み取りと変更～」→トグルスイッチから「拡張機能をクリックしたとき」を選択します。</li>
<li data-line="43" class="code-line">できればChromeの再起動、少なくとも入力補助を用いるページの再読み込みをします。</li>
</ol>
<p data-line="45" class="code-line"><img src="https://storage.googleapis.com/zenn-user-upload/5bd10c407ca9-20250821.png" alt="設定例のスクリーンショット" class="md-img" loading="lazy"></p>
<h3 id="microsoft-edge" data-line="47" class="code-line">
<a class="header-anchor-link" href="#microsoft-edge" aria-hidden="true"></a> Microsoft Edge</h3>
<p data-line="49" class="code-line">操作手順はGoogle Chromeとほぼ同じなので省略させてください。細かい文言が違うくらいです。</p>
<p data-line="51" class="code-line"><img src="https://storage.googleapis.com/zenn-user-upload/95fa5c2a31ff-20250821.png" alt="設定例のスクリーンショット" class="md-img" loading="lazy"></p>
<h2 id="%E4%BD%95%E3%81%8C%E5%A4%89%E3%82%8F%E3%82%8B%E3%81%AE%EF%BC%9F" data-line="53" class="code-line">
<a class="header-anchor-link" href="#%E4%BD%95%E3%81%8C%E5%A4%89%E3%82%8F%E3%82%8B%E3%81%AE%EF%BC%9F" aria-hidden="true"></a> 何が変わるの？</h2>
<p data-line="55" class="code-line">設定変更前は自動で表示されていた入力候補（認証情報やクレカ情報）が<strong>自動で表示されなくなります</strong>。</p>
<p data-line="57" class="code-line">「認証情報やクレカ情報を入力したい！入力するぞ！」というときは、</p>
<ol data-line="59" class="code-line">
<li data-line="59" class="code-line">使いたいブラウザ拡張機能（パスワードマネージャなど）のボタンをクリックします</li>
<li data-line="60" class="code-line">ページの再読み込みを促されるので、再読み込みします</li>
</ol>
<p data-line="62" class="code-line">というステップが増えます。これで、たとえばCookieを受け入れる/拒否するボタンにオーバーレイされたクレカ情報入力フォームをクリックしても、ブラウザ拡張を有効にするまではクレカ情報は入力されないはずです。</p>
<h2 id="%E3%81%82%E3%81%AE%E3%83%BC" data-line="64" class="code-line">
<a class="header-anchor-link" href="#%E3%81%82%E3%81%AE%E3%83%BC" aria-hidden="true"></a> あのー</h2>
<h3 id="%E3%81%93%E3%81%AE%E5%AF%BE%E7%AD%96%E3%82%92%E3%82%84%E3%81%A3%E3%81%A6%E3%81%8A%E3%81%91%E3%81%B0%E4%B8%87%E5%85%A8%E3%81%AA%E3%82%93%E3%81%A7%E3%81%99%E3%81%8B%EF%BC%9F" data-line="66" class="code-line">
<a class="header-anchor-link" href="#%E3%81%93%E3%81%AE%E5%AF%BE%E7%AD%96%E3%82%92%E3%82%84%E3%81%A3%E3%81%A6%E3%81%8A%E3%81%91%E3%81%B0%E4%B8%87%E5%85%A8%E3%81%AA%E3%82%93%E3%81%A7%E3%81%99%E3%81%8B%EF%BC%9F" aria-hidden="true"></a> この対策をやっておけば万全なんですか？</h3>
<p data-line="68" class="code-line"><strong>いいえ</strong>。<br>
残念ながら、そもそもこれ、緩和策です。</p>
<p data-line="71" class="code-line"><strong>攻撃者は日々巧妙化し、人間の注意力には限界がある</strong>、というのが基本ですし、それを持ち出すまでもなく、正規サイトが攻撃され本来の入力フォームの上に攻撃者の入力フォームがオーバーレイされる、というシナリオはありうると感じました。サイトの正規のコンテンツ改竄より発覚しにくい手段としてありうるのではないか、と考えています。まーその時は入力補助の有無に関係なく、高度なペイメントアプリケーションの改ざん、になる気もしますが。</p>
<h3 id="%E3%81%93%E3%81%AE%E7%B7%A9%E5%92%8C%E7%AD%96%E3%81%AE%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AF%EF%BC%9F" data-line="73" class="code-line">
<a class="header-anchor-link" href="#%E3%81%93%E3%81%AE%E7%B7%A9%E5%92%8C%E7%AD%96%E3%81%AE%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> この緩和策のソースは？</h3>
<p data-line="75" class="code-line">元のレポートの<em>Key Information</em>の6つ目に下記の記載があります。これが元ネタです。</p>
<blockquote data-line="77" class="code-line">
<p data-line="77" class="code-line">For Chromium-based browser users it is recommended to configure site access to "on click" in extension settings. This configuration allows users to manually control autofill functionality.</p>
</blockquote>
<h3 id="%E3%83%81%E3%82%B1%E3%83%83%E3%83%88%E4%BA%89%E5%A5%AA%E6%88%A6%E3%81%AE%E6%99%82%E5%9B%B0%E3%82%8B%E3%82%93%E3%81%A7%E3%81%99%E3%81%91%E3%81%A9%EF%BC%9F" data-line="79" class="code-line">
<a class="header-anchor-link" href="#%E3%83%81%E3%82%B1%E3%83%83%E3%83%88%E4%BA%89%E5%A5%AA%E6%88%A6%E3%81%AE%E6%99%82%E5%9B%B0%E3%82%8B%E3%82%93%E3%81%A7%E3%81%99%E3%81%91%E3%81%A9%EF%BC%9F" aria-hidden="true"></a> チケット争奪戦の時困るんですけど？</h3>
<p data-line="81" class="code-line">はい、わたしも悩みました。私はよく<a href="https://www.cinemasunshine.co.jp/theater/gdcs/" target="_blank" rel="nofollow noopener noreferrer">グランドシネマサンシャイン池袋</a>の週末のチケットをとるのにアクセス集中でSorryページに飛ばされて何度も何度もリロードしてます。<br>
でも、グラシネ池袋はじめ多くのシネコンのチケット予約の決済情報の入力は、争奪になる座席確保の後なので、たぶん大丈夫なのでは。</p>
<p data-line="84" class="code-line">シネコン以外は...サイトの作り、申し込みフロー次第なじゃないでしょうか。</p>
<h3 id="%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E6%8B%A1%E5%BC%B5%E3%82%92%E3%82%B5%E3%82%A4%E3%83%88%E5%8D%98%E4%BD%8D%EF%BC%88%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E5%8D%98%E4%BD%8D%EF%BC%89%E3%81%A7%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B%E3%81%AE%E3%81%AF%EF%BC%9F" data-line="86" class="code-line">
<a class="header-anchor-link" href="#%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E6%8B%A1%E5%BC%B5%E3%82%92%E3%82%B5%E3%82%A4%E3%83%88%E5%8D%98%E4%BD%8D%EF%BC%88%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E5%8D%98%E4%BD%8D%EF%BC%89%E3%81%A7%E8%A8%B1%E5%8F%AF%E3%81%99%E3%82%8B%E3%81%AE%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> ブラウザ拡張をサイト単位（ドメイン単位）で許可するのは？</h3>
<p data-line="88" class="code-line">いわゆるホワイトリストですね。現時点での個人的な意見としては、<strong>お勧めしません</strong>。<br>
理由は、攻撃者が正規のサイト（ドメイン）の脆弱性（XSSやSubdomain takeover）を悪用して攻撃してくる可能性が元のレポートで指摘されています。このとき、Webブラウザが正規サイト（ドメイン）と判定してしまったら終わりです。仕様、実装がどうなっているかは、私は知らないし調べてもいません。</p>
<h1 id="%E3%81%9D%E3%81%AE%E4%BB%96%E3%80%81%E5%88%86%E3%81%8B%E3%81%A3%E3%81%A6%E3%81%84%E3%82%8B%E3%81%93%E3%81%A8%E3%81%AE%E6%95%B4%E7%90%86" data-line="91" class="code-line">
<a class="header-anchor-link" href="#%E3%81%9D%E3%81%AE%E4%BB%96%E3%80%81%E5%88%86%E3%81%8B%E3%81%A3%E3%81%A6%E3%81%84%E3%82%8B%E3%81%93%E3%81%A8%E3%81%AE%E6%95%B4%E7%90%86" aria-hidden="true"></a> その他、分かっていることの整理</h1>
<h2 id="%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%A3%E3%81%AB%E6%B0%97%E3%82%92%E4%BB%98%E3%81%91%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%AE%EF%BC%9F" data-line="93" class="code-line">
<a class="header-anchor-link" href="#%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%83%9E%E3%83%8D%E3%83%BC%E3%82%B8%E3%83%A3%E3%81%AB%E6%B0%97%E3%82%92%E4%BB%98%E3%81%91%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%AE%EF%BC%9F" aria-hidden="true"></a> パスワードマネージャに気を付ければよいの？</h2>
<p data-line="95" class="code-line"><strong>いいえ</strong>。<br>
<strong>入力補助機能を提供するすべてのブラウザ拡張</strong>で注意する必要がある、緩和策を実行した方が良い（やらないよりは幾分マシ）と考えておくべきです。</p>
<p data-line="98" class="code-line">元のレポートでは、暗号通貨関連の入力補助のブラウザ拡張などが例に挙げられていました。その方面は全く知らないので、どんなものがあるか分かりませんが...</p>
<p data-line="100" class="code-line"><em>Conclusion</em>に但し書き的に<em>others DOM-manipulating extensions will be vulnerable (password managers, crypto wallets, notes etc. )</em> と書かれています。</p>
<h2 id="%E3%82%AF%E3%83%AC%E3%82%AB%E6%83%85%E5%A0%B1%E5%85%A5%E5%8A%9B%E3%81%AE%E3%81%A8%E3%81%8D%E3%81%AB%E6%B0%97%E3%82%92%E4%BB%98%E3%81%91%E3%81%A6%E3%81%8A%E3%81%91%E3%81%B0%E3%81%84%E3%81%84%E3%81%AE%EF%BC%9F" data-line="102" class="code-line">
<a class="header-anchor-link" href="#%E3%82%AF%E3%83%AC%E3%82%AB%E6%83%85%E5%A0%B1%E5%85%A5%E5%8A%9B%E3%81%AE%E3%81%A8%E3%81%8D%E3%81%AB%E6%B0%97%E3%82%92%E4%BB%98%E3%81%91%E3%81%A6%E3%81%8A%E3%81%91%E3%81%B0%E3%81%84%E3%81%84%E3%81%AE%EF%BC%9F" aria-hidden="true"></a> クレカ情報入力のときに気を付けておけばいいの？</h2>
<p data-line="104" class="code-line"><strong>いいえ</strong>。<br>
認証情報など、他のパスワードマネージャに格納されている情報全て、窃取される恐れがあります。</p>
<h2 id="%E3%82%AF%E3%83%AC%E3%82%AB%E3%81%AE3d%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%81%AF%EF%BC%9F" data-line="107" class="code-line">
<a class="header-anchor-link" href="#%E3%82%AF%E3%83%AC%E3%82%AB%E3%81%AE3d%E3%82%BB%E3%82%AD%E3%83%A5%E3%82%A2%E3%81%AF%EF%BC%9F" aria-hidden="true"></a> クレカの3Dセキュアは？</h2>
<p data-line="109" class="code-line">クレカ情報入力後にページ遷移しますので、<strong>その時点で情報は窃取されてしまっている</strong>、と考えるべきかと思います。不自然なページ遷移をトリガーにカード会社に停止を依頼する、などの緩和策が考えられますが、カード会社がどこまで対応してくれるかは未知数です。</p>
<h2 id="%E6%94%BB%E6%92%83%E3%81%AF%E3%81%A9%E3%82%93%E3%81%AA%E5%AE%9F%E8%A3%85%E3%81%AA%E3%81%AE%EF%BC%9F" data-line="111" class="code-line">
<a class="header-anchor-link" href="#%E6%94%BB%E6%92%83%E3%81%AF%E3%81%A9%E3%82%93%E3%81%AA%E5%AE%9F%E8%A3%85%E3%81%AA%E3%81%AE%EF%BC%9F" aria-hidden="true"></a> 攻撃はどんな実装なの？</h2>
<p data-line="113" class="code-line">元のレポートのページに詳細が解説されています。<br>
これについて踏み込んだ記事にする予定はありません。</p>
<h1 id="%E5%93%B2%E5%AD%A6%E7%9A%84%E3%81%AA%E5%95%8F%E9%A1%8C" data-line="116" class="code-line">
<a class="header-anchor-link" href="#%E5%93%B2%E5%AD%A6%E7%9A%84%E3%81%AA%E5%95%8F%E9%A1%8C" aria-hidden="true"></a> 哲学的な問題</h1>
<p data-line="117" class="code-line">「入力補助」というのはどうなの？「DOM/サイトデータの読み取りと操作」じゃないの？というのは私も思いましたが、分かり易さ優先でこの表現にしました。</p>
<h1 id="%E6%9C%80%E5%BE%8C%E3%81%AB" data-line="119" class="code-line">
<a class="header-anchor-link" href="#%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 最後に</h1>
<p data-line="120" class="code-line">それにしても、よくこんなこと思いつくなー、よく気づくなー、と感心しちゃいました。<br>
いや、これほんとリサーチャーの方が公表してくれて良かったな、と思います。</p>
<p data-line="123" class="code-line">最後までお読みいただきありがとうございました。</p>


パスワードマネージャへのクリックジャッキング攻撃に対して、いま私たちが出来ること

この対策をやっておけば万全なんですか？

チケット争奪戦の時困るんですけど？

ブラウザ拡張をサイト単位（ドメイン単位）で許可するのは？

Discussion