大手パスワード管理ソフトウェアである1Password(ワンパスワード)は、最新のブラウザー拡張機能アップデートであるバージョン8.11.7でクリックジャッキングの問題に対処した。クリックジャッキングとは、侵害されたウェブページがページやブラウザー拡張機能の要素(自動入力メニューなど)を視覚的に偽装またはオーバーレイし、ユーザーが意図せずクリックするように仕向ける悪意のある手法だ。これにより、ユーザーは知らないうちにカード情報や個人情報などの機密情報を自動入力してしまう可能性がある。クリックジャッキングはパスワードマネージャーにとって新しい問題でも特異な問題でもなく、多くのウェブサイトやブラウザー拡張機能に影響を与える長年のウェブ技術であることに留意することが重要だ。
このセキュリティー上の懸念に対応するため、1Passwordはユーザーにより多くの制御と情報を提供するソリューションを導入した。2025年8月20日にリリースされた新しいアップデートでは、自動入力が行われる前に通知を受け取り、承認または拒否するオプションがユーザーに提供される。この機能は、クリックジャッキングによって非表示またはオーバーレイされない、既存の支払い情報の確認アラートを拡張する。これらのアップデートにより、ユーザーは自動入力が行われる際に明確な通知を受け、共有される情報を制御できるため、クリックジャッキング攻撃から保護される。
クリックジャッキングに伴う潜在的なリスクにもかかわらず、1Passwordはユーザーのデータが暗号化され、保護されていることを保証する。クリックジャッキングは、ユーザーの保管庫を公開し、データをエクスポートし、ウェブサイトが保存された情報に直接アクセスできるようにすることはなく、代わりにユーザーを騙して自動入力をトリガーさせようとする。これに対処するため、1Passwordは確認アラートなどの安全対策を追加し、ユーザーがデータを入力する前に再確認できるようにしている。
最大限の保護を確保するため、1Passwordは、ブラウザーストアでバージョン8.11.7.2(iOS App Storeでは8.11.7)が利用可能になり次第、アップデートすることを推奨している。また、自動入力を無効にするとリスクが高まる可能性があるため、自動入力を有効にしておくことも推奨される。自動入力がないと、ユーザーは脆弱なパスワードを使い回したり、認証情報をコピー&ペーストしてウェブサイトに貼り付けたりする可能性が高くなる。悪意のあるサイトであれば、認証情報が盗まれる可能性がある。Autofillは、保存されているドメインの認証情報のみを入力するため、フィッシング攻撃からもユーザーを保護し、クリックジャッキングの潜在的なリスクを上回るレベルの保護を提供する。
出典:1Password
この製品の詳細については、1Password製品ページをご覧ください。
