セキュリティ企業のPhishUは2026年5月20日(現地時間)、「Google Password Manager」(以下、GPM)の同期機能を悪用し、利用者のパスキーおよび保存済みパスワード群にアクセスできる攻撃手法「Vaultjacking」を発表した。 Google Password Manager同期機能を悪用 パスキーにアクセスする新手法 PhishUによれば、この手法はWebAuthnそのものを破るものではない。攻撃対象はGPMの同期基盤であり、利用者のGPM PINを取得し、新たな端末として「Googleアカウント」のセキュリティドメインに参加し、同期済み認証情報群を取得する。 GPMではパスキーやパスワードが複数端末間で同期される。同期データは、パスキーや保存済みパスワードを暗号化・復号する共通マスターキー「Security Domain Secret」(SDS)によって保

