1Password が示すフィッシング対策:フィッシング URL 検知を強化する警告ポップアップ機能を追加

1Password adds pop-up warnings for suspected phishing sites

2026/01/25 BleepingComputer — 1Password のデジタル・ボールト/パスワード・マネージャに、フィッシング URL に対するビルトイン保護機能が追加された。これにより、ユーザーは悪意のページを識別し、アカウント認証情報を脅威アクターに漏らしてしまう事態を防止できる。サブスクリプション型のパスワード管理サービスである 1Password は、エンタープライズ環境の多様な組織で広く利用されている。最近の Windows は、1Password を通じたネイティブ Passkeys 管理をサポートしている。

この種の他のツールと同様に 1Password は、ボールトに保存されている URL と一致しない Web サイトを訪問したユーザーの、ログイン情報の自動入力を実行しない。この挙動はフィッシング攻撃に対する内在的な防御を提供するが、それでも一部のユーザーは異常に気付かず、危険なページ上で認証情報を入力する可能性がある。

1Password が認めているように、この防御層のみに依存することは、セキュリティの観点で不十分である。なぜなら、攻撃者が綴りを意図的に誤認させる、あるいは、見た目が酷似したドメイン名を登録したタイポスクワッティングにより、ユーザーが依然として騙される可能性があるためである。 正しい Web サイトにアクセスしたと思い込んでいるユーザーは、パスワード・マネージャが不具合を起こしていると誤認し、また、ボールトがロックされた状態にあると誤認し、認証情報を手動で入力してしまう場合がある。

このセキュリティ・ギャップに対処するため、1Password ユーザーは追加の防御層として、潜在的なフィッシング・リスクを警告するポップアップを採用した。 同社は Facebook ドメインのタイポスクワッティング・インシデントを例に挙げ、URL に余分な “o” が 1 文字含まれていても、ページ全体がもっともらしく見える場合には、見逃してしまうユーザーが多いと説明している。このポップアップは、続行する前に立ち止まり、より注意深く確認するようユーザーに促すものだと、1Password は説明している。

1Password alert to user
1Password alert popup
Source: 1Password

この新機能は、individual/family plan ユーザーに対して自動的に有効化される。その一方でエンタープライズの管理者は、 1Password 管理コンソールの Authentication Policies を通じて、従業員向けに手動で有効化できる。 今回の発表において、AI ツールの普及により、攻撃者がより説得力のある詐欺を大量に実行できるようになった結果、フィッシング脅威が増大している点を、同社は強調している。

1Password が米国で実施した 2,000 人規模の調査によると、61% がフィッシング被害に遭遇した経験を有しており、75% がリンクをクリックする前に URL を確認していないことが明らかになった。エンタープライズ環境では、単一のアカウントが侵害されるだけで、外部アクターによるラテラル・ムーブメントが可能になる。今回の調査では、従業員の 3 分の 1 が業務アカウントでパスワードを再利用しており、そのうちのほぼ半数がフィッシング攻撃の被害に遭っていることが判明している。

さらに、調査参加者のほぼ半数が、フィッシング対策は自身ではなく IT 部門の責任であると回答し、72% が不審なリンクをクリックしたことがあると認めている。それに加えて、不審なメッセージについては、報告するよりも削除する方を選ぶと、回答者の 50% 超が述べている。

パスワード管理サービスの 1Password に、フィッシング・サイトへのアクセスを検知して、ユーザーに警告する新しい保護機能が追加されました。このトレンドの背景にあるのは、正規サイトと一文字違いのドメイン (タイポスクワッティング) などを用いる攻撃者が、人間が視覚的に判断しにくい巧妙な偽サイトを作成し、ユーザーに手動で認証情報を入力させてしまうという問題です。

元々 1Password には、保存された URL と一致しないサイトでは、自動入力を停止する機能がありましたが、ツールの不具合やボールトのロックと誤解するユーザーが、手動でパスワードを入力して被害に遭うケースが後を絶ちませんでした。今回の新機能では、危険だと推測されるページを訪問した際に、明示的なポップアップ警告を表示することでユーザーに注意を促し、立ち止まって確認させる防御層を追加しています。よろしければ、Typosquatting での検索結果も、ご参照ください。