要するに、Proton Passブラウザアプリは、報告されたクリックジャッキング攻撃に対して脆弱ではなくなりました。私たちは、DEF CON 33で行われたサイバーセキュリティ研究者Marek Tóth氏による報告でこの脆弱性を知らされました。
Tóth氏は、自身が発見した新しいタイプのクリックジャッキング攻撃についてプレゼンテーションを行いました。彼は攻撃の仕組みと、パスワードマネージャーのブラウザアプリ内のデータがどのように脆弱になり得るかを説明しました。Proton Passはプレゼンテーションで使用された例の1つであり、Tóth氏は自身のブラウザアプリでクリックジャッキング攻撃を成功させました。私たちはProton Passのバージョン1.31.6のロールアウトでこの脆弱性に対処しました。まだ更新していない場合は、Proton Passウェブアプリを更新することを強くお勧めします。
クリックジャッキング攻撃とは?
Open Worldwide Application Security Project (OWASP)によると、クリックジャッキング攻撃(新しいウィンドウ)は次のように定義されます:
「クリックジャッキングは『UI着せ替え攻撃』とも呼ばれ、攻撃者が複数の透明または不透明なレイヤーを使用して、ユーザーが最上位のページをクリックするつもりで、別のページのボタンやリンクをクリックするように仕向けることです。このようにして、攻撃者は自分のページに対するクリックを『ハイジャック』し、別のアプリケーションやドメイン、またはその両方が所有する別のページにルーティングします。」
Tóth氏は報告書の中で、「多くのバグバウンティプログラムではこの脆弱性が『対象外』セクションに記載されており、良い場合でも受け入れられるだけで報酬は与えられない」と指摘しています。クリックジャッキングの脅威に対する保護は一般的であるため、最近ではほとんどの企業にとって脅威とは見なされていません。
しかし、Tóth氏は複数の攻撃バリエーションを持つ新しいクリックジャッキング攻撃手法を開発することができました。彼はそのプロセスを、「悪意のあるスクリプトが、ブラウザ拡張機能がDOMに注入するUI要素を操作し、JavaScriptを使ってそれらを不可視にする」と説明しています。その後、彼はこの新しい攻撃タイプを、Proton Passを含むブラウザ拡張機能として使用できる11のパスワードマネージャーでテストしました。11のパスワードマネージャーすべてが、Tóth氏のDOMベースの拡張機能クリックジャッキング攻撃に対して脆弱であることが判明しました。
Tóth氏がどのようにテストを行ったかの詳細については、完全なレポート(新しいウィンドウ)をご覧ください。
Proton Passの使用は安全ですか?
Proton Passアプリのバージョン1.31.6では、この攻撃の効果を防ぐための修正をリリースしました。関連する拡張機能要素とオーバーレイに対処し、またセキュリティ研究への貢献に対してTóth氏をセキュリティ貢献者のリストに追加しました。
私たちはセキュリティ専門家に対し、バグバウンティプログラムを通じてすべてのProtonアプリをテストするよう呼びかけています。また、サードパーティのサイバーセキュリティ企業が定期的にコードの監査を行い、製品に関する私たちの主張がすべて真実であることを保証しています。
身を守るために何をすべきですか?
Tóth氏は報告書の中で、クリックジャッキング攻撃やその他の種類のサイバー攻撃から身を守るためにできる行動について推奨しています。私たちも以下の行動を取ることをお勧めします:
- 自動更新が有効になっていることを確認する。Proton Passの最新バージョンを実行することで、ゼロデイ脆弱性に対して安全を保つことができます。
- 手動の自動入力を無効にし、コピー&ペーストのみを使用することを検討する。Proton Passでは、2回のクリックでパスワードを自動入力できるため、ウェブサイトが安全かどうかを自分で判断する時間が得られますが、リスクを減らしたい場合は自動入力を使用しないことも選択できます。
Protonは、透明性が高く安全な組織であることを証明するためにISO 27001認証を取得しています。保管庫に保存するすべてのものはエンドツーエンド暗号化で保護されており、プライバシーが維持され、お客様以外の誰もデータにアクセスできないようになっています。しかし、常に注意を払い、強力で多様なパスワードを作成し、hide-my-emailエイリアスを使用してフィッシングやマルウェアから身を守ることを常にお勧めします。
