セキュリティ

トレンドマイクロ社のパスワード管理アプリ「パスワードマネージャー」は危険!フィッシングに要注意!

2021年4月25日

パスワード管理アプリはフィッシングサイトに有効なのか?

今回は、トレンドマイクロ社のパスワード管理アプリ「パスワードマネージャー」で検証してみました。

パスワード管理アプリとフィッシング対策の関連性についてはコチラをCHECK

パスワード管理アプリ別フィッシング対策の比較まとめ

続きを見る

トレンドマイクロ社「パスワードマネージャー」安全性チェック

パスワード管理アプリという特性上、正規のサイト以外で間違ってパスワードを入力しないことが最低条件です。

筆者のスマホに「スミッシング」のショートメールが届きましたので、トレンドマイクロ社の「パスワードマネージャ」が詐欺サイトにパスワードを入力しない期待値のもと、検証してみました。

「スミッシング」とは?

SMS(ショートメール)を悪用し、フィッシング詐欺(パスワードやクレジットカード番号を入力させ搾取する詐欺サイト)の手口

「パスワードマネージャー」でスミッシングの検証手順

いわゆる「詐欺サイトに引っかかってしまう」一般的な手順です。

  • SMSのURLをタップ
  • Amazonのフィッシングサイトが表示
  • パスワード管理アプリを呼び出す
  • 「パスワードマネージャー」がパスワード情報を検出しないこと

上記4が、詐欺サイトに騙されることなく引き返せる最終ラインです。

パスワードマネージャーはフィッシング「回避できない」

パスワードマネージャーはフィッシングサイトでも、登録したAmazonパスワードを検出してしまいました。

トレンドマイクロ
「パスワードマネージャー」
スミッシングの検証結果

今回はAmazonのサイトアドレスのみ登録した検証でしたが、正規サイト・フィッシングサイト問わず、登録しているすべてのパスワード情報を表示する仕様ですね。

つまりは、パスワードマネージャーはサイトのアドレスが正しいかをチェックする機能が備わっていない結論です。

フィッシング対策まとめ|パスワードマネージャー

トレンドマイクロ社のパスワードマネージャーは、フィッシングサイトを回避できません。

今回はAmazonを語ったスミッシングの例でしたが、フィッシング以外の正規サイトでも誤ってパスワード情報を自動入力するリスクがあります。

トレンドマイクロ社のパスワードマネージャーは有料サービスですが、利用者の運用を考えセキュリティ設計しているのか?疑問が残る結果でした。

それであればよりセキュア&使い勝手のよい、有料であれば「1Password」、無料であれば「Bitwarden」をおすすめします。

参考パスワード管理アプリ【1Password】iPhoneでの使い方|IT管理プロが徹底解説

続きを見る

参考無料パスワード管理アプリ「Bitwarden」の使い方|IT管理プロが徹底解説

続きを見る

※本事象については、トレンドマイクロ社へ報告しています。

■2021/4/19追記:トレンドマイクロ社より「今後の機能改善に努める」返信がありましたので、続報あればお知らせします。

  • この記事を書いた人

どうなの

ITとITをつなぐ【ICTライフサイクル管理】15年のプロ。 企業5社を渡り歩いた知見からの『ICTでお悩み解決、生活品質&生産性アップ』なノウハウを情報発信しています。

-セキュリティ