DEF CON 33で発表された調査により、主要パスワードマネージャーのブラウザー拡張が“DOMベースのクリックジャッキング”に脆弱で、
条件次第でID・パスワード、TOTP等の2FAコード、クレジットカード情報、パスキーが盗み取られる可能性があることが判明しました。
影響は1Password、Bitwarden、Dashlane、Enpass、Keeper、LastPass、LogMeOnce、NordPass、Proton Pass、RoboForm、Apple iCloud Passwordsなど計11製品に及び、拡張の総インストール数は約4,000万に達します。ベンダー対応は進行中で、Bitwardenは2025.8.0で修正をリリース。他ベンダーも保護強化やパッチ提供を進めています。
まとめ
• 悪意のあるスクリプトが、JavaScript を使用して非表示にすることで、ブラウザ拡張機能が DOM に挿入した UI 要素を操作する新しいクリックジャッキング手法。
•調査対象:1Password、Bitwarden、Dashlane、Enpass、Keeper、LastPass、LogMeOnce、NordPass、Proton Pass、RoboForm、Apple iCloud Passwords など計11のブラウザ拡張機能。
• 調査では、いずれも「DOMベースの拡張機能クリックジャッキング」に対して脆弱であることが判明しました。数千万人のユーザーが危険にさらされている可能性があります(アクティブインストール数は約4,000万件) 。
•攻撃者の Web サイトの任意の場所を1 回クリックするだけで、セキュリティ コードを含むクレジットカードの詳細が漏洩したり (9 件中 6 件が脆弱)、保存されている個人情報が抜き取られたりする可能性があります (10 件中 8 件が脆弱)。
概要
研究者Marek Tóth氏は、11のパスワードマネージャー拡張を対象に、DOM(Document Object Model)上に拡張が挿入するUI要素を攻撃用スクリプトで不可視化・移動させ、ユーザーを透明な要素に誘導してクリックさせる手口を実証しました。
多くのケースで1回のクリックで流出が成立し、攻撃に必要なユーザー操作は0〜5クリックの範囲でした。
XSSやキャッシュ汚染を組み合わせたシナリオでは、偽の同意バナーやログイン画面に重ねた不可視フォームへオートフィルが流れ、攻撃者のサーバーに送信されます。
攻撃の仕組み
パスワードマネージャーの拡張機能は、ページの上にオートフィル用の小さなUIを差し込んで動きます。今回の手口は、その差し込まれたUIを攻撃側のスクリプトで透明にしたり位置をずらしたりして、見えないままボタンの真下に重ねるものです。
利用者が「同意」や「閉じる」といった普通のポップアップをクリックしたつもりでも、実際には拡張機能のオートフィルが発火し、ログイン情報や個人情報が攻撃者の用意したフォームに流れ込んで送信されます。
XSSやキャッシュ汚染で悪意のスクリプトを差し込めるサイトに誘導できれば、1回のクリックで成立するケースもあります。
検証では、メインドメインだけでなくサブドメインにも自動入力される挙動が目立ち、条件次第でTOTPのコードやパスキーまで狙えることが確認されています。どの製品が動いているかを検知して手口を切り替える“汎用スクリプト”も実演されました。
影響範囲
対象はブラウザー拡張を提供する主要パスワードマネージャー11製品で、Chrome・Edge・Firefoxの公式ストアの数を合算すると、利用規模はおよそ4,000万インストールに達します。
影響が出やすいのは、拡張のサイトアクセスを常時許可にしている環境や、自動入力に事前確認を求めない設定のまま使っている場合です。偽の同意バナーやログイン画面など、クリックを誘うオーバーレイを出すだけで成立するため、フィッシングサイトと組み合わされると防ぎにくくなります。
なお、手口はDOM操作に依存しているため、特定ベンダー固有の問題というより、拡張機能という仕組みそのものに根差したリスクだと捉えるのが適切です。
影響範囲とベンダー対応状況
各社への事前通知と検証は外部のセキュリティ企業が支援し、脆弱性に対するCVEの付与も進んでいます。Bitwardenは対策を含む2025.8.0を公開済みで、ユーザーには最新化を呼びかけています。
1Passwordは「拡張だけで包括的に塞ぐのは難しい」という立場を示し、カード情報に限らずオートフィル前の確認を広げるなど、利用者側の制御を強める方針です。
LastPassも決済情報や個人情報の自動入力前に確認ポップアップを出す実装を入れており、追加の防御強化を検討中としています。iCloud Passwords、Enpass、LogMeOnceなどは修正の準備を進めている段階です。
いずれの製品でも共通する当面の対処は、拡張の更新適用、サイトアクセスを「クリック時のみ」に切り替えること、自動入力に確認を挟むこと
参照
https://marektoth.com/blog/dom-based-extension-clickjacking/








