ニュース

Chrome/Opera向け「LastPass」拡張機能にクリックジャッキングの脆弱性 ~最新版で修正済み

Googleのセキュリティチーム“Project Zero”の研究者が報告

同社の公式ブログ

 パスワード管理サービス“LastPass”を運営する米LogMeInは9月13日(現地時間)、特定のWebブラウザー向け「LastPass」拡張機能にクリックジャッキングが可能となる脆弱性が存在することを明らかにした。この不具合はすでに解決されているという。

 同社によると、この脆弱性はGoogleのセキュリティチーム“Project Zero”に所属する研究者Tavis Ormandyによって報告された。「LastPass」拡張機能でWebページにパスワードを入力して、状態で悪意ある細工または改竄が施されたWebページへアクセスし、そのページで何回かマウスのクリックなど一連のアクションを行うよう仕向けることで、「LastPass」拡張機能によって最後に入力されたログイン情報が露出してしまう可能性があるという。

 同社はすぐに修正プログラムの開発に取り組み、Tavis氏の協力を得て問題が解決されたことを確認した。今回の問題は「Google Chrome」と「Opera」にしか影響しないが、念のため他のWebブラウザー向けにも対策が施してあるとのこと。“LastPass”のユーザーは、Webブラウザー拡張機能が最新のものになっているか確認した方がよいだろう。

 そのほかにも、“LastPass”チームは知らない人物から送られてきたリンクをクリックしない、銀行やメールサービス、SNSなどで多要素認証(MFA)を有効にする、“LastPass”のマスターパスワードを他のサービスで流用しない、PCでウイルス対策行う、インストール済みソフトを最新の状態に保つといった対策をとるよう呼び掛けている。