1 : 2025/08/21(木) 11:11:15.77 ID:gmti2YZr0
Cookieを許可したらアカウント情報が流出!? パスワード自動入力を悪用した攻撃に注意
https://news.yahoo.co.jp/articles/8ac43133a233bad69d3a8afdcfb617d8e00925f5
セキュリティ企業のSocketは8月20日、パスワードマネージャーが持つアカウント情報などの自動入力機能を悪用した攻撃について紹介。自動入力の表示の上に、別の要素を重ねて表示することで、ユーザーが意図せずプライベート情報を入力してしまうように仕向ける「クリックジャッキング攻撃」が可能だとし、注意を呼びかけている。
この手法は、世界最大級のハッキング/セキュリティカンファレンスであるDEF CON 33にて、セキュリティ研究者のMarek Tóth氏が報告したもの。パスワードマネージャーには、IDやパスワード、クレジットカード番号などの自動入力機能を持つものがあるが、これを悪用して機密情報の窃取を狙うという。
具体的には、Webページのログインフォーム周辺に出現する自動入力候補の上に、別の要素を重ねて表示されるよう細工する。
ユーザーから見ると、上層に表示された要素しか見えないため、意図せず自動入力を実行してしまい、機密情報を送信してしまう可能性がある。
具体的には、Cookieの利用の可否を確認するような表示が出てきて、「許可」の部分をクリックしたはずが、実際はその下に隠れている自動入力の候補をクリックしまうため、機密情報が入力されて盗まれてしまうといったかたちだ。
パスワードマネージャーの自動入力は、基本的に正しいドメインでしか機能しないように設計されている。
しかし、クロスサイトスクリプティング攻撃やサブドメインの乗っ取りなどと組み合わせることで、この手法によって機密情報を窃取される恐れがあるという。
いかそーす
(おわり)
2 : 2025/08/21(木) 11:12:22.62 ID:2262A5Qg0
クレカはまじでリスクしか無い
ネット決済は全部QR表示形式にしてほしい
13 : 2025/08/21(木) 11:49:57.57 ID:4homZpv90
>>2
そのリスクをカード会社が負ってくれる前提のクレカシステムだろ
使い道調べられて不正利用されたか電話で確認されたり巨額決済だとロックされたりするわけだ
3 : 2025/08/21(木) 11:12:27.23 ID:gmti2YZr0
4 : 2025/08/21(木) 11:14:09.48 ID:SPS/gjiq0
>パスワードマネージャーの自動入力は、基本的に正しいドメインでしか機能しないように設計されている。
>しかし、クロスサイトスクリプティング攻撃やサブドメインの乗っ取りなどと組み合わせることで、この手法によって機密情報を窃取される恐れがあるという。
そんなにリスク高くなさそうだな
5 : 2025/08/21(木) 11:14:58.74 ID:z2HJbu73r
あらゆるボタンに仕込んでいけ
6 : 2025/08/21(木) 11:42:09.52 ID:y+AHp5R+0
firefoxの自動入力は選択する必要があるから平気そうだな
7 : 2025/08/21(木) 11:43:15.15 ID:CmVCjmjP0
パスワードマネージャーなんて使うやつが悪い(´・ω・`)
8 : 2025/08/21(木) 11:46:26.85 ID:Dt03xuT50
これやべええな
9 : 2025/08/21(木) 11:47:03.45 ID:ZdgYnVvX0
だから漏れは同意系のボタンは何も押さない
10 : 2025/08/21(木) 11:47:08.43 ID:xfEg53qV0
何でパスキーって全然普及しないの?
16 : 2025/08/21(木) 11:56:53.40 ID:7P8csLmiH
>>10
パスキーと関係ないプリミティブな個人情報を要求されるからめんどいしキモい
11 : 2025/08/21(木) 11:48:49.04 ID:wGEFOUZ60
もうクッキー表示は全て無視するしかないな
12 : 2025/08/21(木) 11:49:54.92 ID:AI8AT1I10
NoScript的なアドオンがないブラウザは無理
14 : 2025/08/21(木) 11:54:15.73 ID:U15ABLrj0
クレカ登録してあるような総合通販サイト以外は代引き、銀行振り込みなんでカードの自動入力はないかな
15 : 2025/08/21(木) 11:54:23.45 ID:vBLCUM/Y0
こっわ
気を付けよう
・・・どうやって?
17 : 2025/08/21(木) 11:57:57.66 ID:ZWPnFHXb0
Edgeがクレカ情報覚えといてやろうか?ってほぼ毎回聞いてくるけど、こういうことあるから使ってない
パスワードマネージャーは使ってる
それもパソコンは手動のコピペ
スマホは細かい操作がうっとうしいからオートフィルだけど
18 : 2025/08/21(木) 11:59:01.86 ID:4HZli3sq0
広告の閉じるボタンは大丈夫かな
19 : 2025/08/21(木) 12:21:51.95 ID:/NN4/WA00
>パスワードマネージャーの自動入力は、基本的に正しいドメインでしか機能しないように設計されている。
20 : 2025/08/21(木) 12:49:54.51 ID:ai48HiBl0
俺はいつもCookie許可しないで隙間から覗いてるけど
21 : 2025/08/21(木) 13:21:36.00 ID:3d7nHZ+T0
カード情報保存はさすがにやらんわ
クッキー許可もやらんけど
22 : 2025/08/21(木) 13:25:39.55 ID:5JfZc7/z0
こういうの怖いのとグーグル信用してねえから記憶はさせてねえけど、説明されてもわけわからんような抜き取り方すんだな
23 : 2025/08/21(木) 13:27:54.32 ID:ukfIeaVl0
あのクッキーボタンマジクソウゼーんだわ
24 : 2025/08/21(木) 13:39:22.77 ID:mW8UONjG0
EUが確認必須にさせたら詐欺に利用されましたってね
25 : 2025/08/21(木) 14:06:42.72 ID:qEO7oClZr
ジャップは許可しかさせないしょうもないサイトばっか作ってないでちゃんと拒否させろや
冗談抜きでそういうとこやぞ
26 : 2025/08/21(木) 15:23:33.25 ID:bR/JlbO/d
パスワードマネージャーのポップアップの脆弱性じゃん
27 : 2025/08/21(木) 15:31:48.90 ID:rUkRWrU90
そもそもクッキーのAcceptなんて押さんからな
セッティングで極力拒否する
28 : 2025/08/21(木) 15:33:25.00 ID:ySLvZ/2e0
広告ブロッカーでcookie確認もブロックしてるからヘーキヘーキ
29 : 2025/08/21(木) 15:33:48.40 ID:RsjaFwkf0
メアドか何か入れようとすると予測で以前に入力した住所とかカード番号先行入力する機能あるやん
その辺の入力フォームを見えなくしてメアドのみと思いきや全情報盗むそうだな
30 : 2025/08/21(木) 16:10:10.02 ID:zdnNXnVd0
普通Cookie確認のダイアログ自体を広告ブロッカーで消すよね
コメント