なんとなく「パスワードマネージャー使ってれば安心?」って思ってたけど、実はそうでもないかもしれない話を聞いて、ちょっとびっくりしたんだよね😳
最近、一部のパスワードマネージャーのブラウザ拡張機能に新しい「ゼロデイ」脆弱性(まだ対策されていない穴)が見つかったらしいんだ💡
そもそもゼロデイ脆弱性って?
簡単に言うと、「まだ誰も対策できてないセキュリティの穴」のこと。これが見つかると、悪い人に狙われやすくなっちゃうんだよね💭
どういう問題?
今回見つかった攻撃方法は、攻撃者が作ったサイトで「たった1回クリック」するだけで、パスワードマネージャーに保存してる大事なデータを盗まれちゃう可能性があるって話💥
盗まれる情報には、
- クレジットカード情報
- 個人情報
- ログイン情報(なんと二段階認証のTOTPも含む)
なんてのもあるから、かなり怖いよね🥺
どのパスワードマネージャーが危ないの?
今回テストされた11個の有名どころだと、
🛡️ 安全で修正済み:
- Bitwarden
- Dashlane
- Keeper
- NordPass
- ProtonPass
- RoboForm
⚠️ まだ危険、未修正:
- 1Password
- iCloud Passwords
- EnPass
- LastPass
- LogMeOnce
特に1PasswordとLastPassは、今のところこの問題を直す予定がないって発表してて、正直びっくりしたよね…😵💫
なんで2段階認証(2FA)があっても危ないの?
普通2FAがあれば安心って思うけど、ログイン情報と2FAの秘密情報を同じ場所(パスワードマネージャー)に入れてると、攻撃者に全部盗まれて突破されちゃう可能性があるんだって。なるほどね…🤔
だから、2FAは別に管理するのがいいみたい💡✨
じゃあどうすればいいの?
- 今使ってるパスワードマネージャーの状況をチェックしてみること!
- もしまだ脆弱なものを使ってたら、アップデート情報や公式発表をこまめに確認しよう📌
- 2FAはできればログイン情報と別管理にしてみてね!
わたしも最近、あんまり考えずに便利だからとパスワードマネージャーにいろいろ詰め込みすぎてたけど、これを機にちょっと見直そうかなって思ってるよ😆
まとめると
- 新しい攻撃技術で、パスワードマネージャーのデータが簡単に盗まれる可能性がある
- 対策済みと未対策のパスワードマネージャーがあるから要チェック
- 2FAもパスワードマネージャーと一緒に入れすぎるのは要注意!
こういう話って、ついついあと回しにしがちだけど、デジタルの世界に安全に暮らすには、ちょっとした気づきと行動が大切なんだな〜って改めて思ったよ🌸
はてな
コメント
ロバート
1Passwordの公式見解はこちらです。
グレース
説明がちょっとズレてて、「ページをクリックしただけで全部盗まれる」みたいに伝わってるけど違うよ。
クリス
調べると、これってオートフィルの表示を乗っ取る感じで、実際にオートフィルの提案をクリックしないと情報は盗めないみたい。
ロバート
確かに対策は必要だけど、言われてるほどヤバいわけじゃないよ。
ハンナ
非表示の入力欄にまでオートフィルするのはバグっぽいね。
リリー
ChromeのパスワードマネージャーはURLに紐づいてるからリストに入ってないし、オートフィルも手動で起動するし、被害になるにはサイト自体の侵害が必要だからハードル高いよ。
サム
iCloudパスワードはTouchIDやFaceIDで確認しないとオートフィルしないから、どうして脆弱なの?
クリス
パスワードマネージャーの脆弱性と修正状況まとめだよ。
ロバート
Proton Suiteを最近使い始めたばかりだけど、こういうアップデートを見ると安心するね。
ベン
すごい!
