デル株式会社

ブラウザのパスワード自動入力機能 脆弱性への防御の勧め

ウィルスメールのイラスト
Pocket

日頃、商品を買い物するときのフォームやお問い合わせフォームなどでメールアドレスが自動で入力されることがあるかと私見では思います。これはブラウザの自動入力という機能が気を利かせて行なっていることです。

自動入力はウェブ上のフォームに同じ情報を何度も入力するのは面倒だと思った時に利用すると非常に便利です。

ブラウザのパスワード自動入力機能

お買い物をする時に毎回、メールアドレスや住所をて入力するのは手間がかかるのでブラウザに情報を覚えさせて自動で入力するといった例があります。Google Chrome(ホームページを閲覧するソフト)のヘルプページでは「自動入力をする」という欄に以下のような項目があります。

自動入力を使用する

  • アドレス情報は Google Chrome に保存されます。フォームに初めて入力したときに、入力した連絡先情報(名前、住所、電話番号、メール アドレスなど)が自動入力エントリとして自動的に保存されます。複数のアドレスを別のエントリとして保存することができます。
  • クレジットカード情報も安全に保存することができます。ユーザーが明示的に許可した場合、クレジットカード情報も保存できます。フォームにクレジットカード情報を入力すると、ページの上部に、この情報を保存するかどうかの問い合わせが表示されます。クレジットカード情報を自動入力エントリとして保存する場合は、[情報を保存] をクリックします。
  • ワンクリックでフォームに入力することができます。フォームの入力を開始すると、入力内容と一致する自動入力エントリがメニューに表示されます。フォームに自動入力する情報のエントリを選択します。Google Chrome ではフォームの特定の欄に入力したテキストも保存します。次に同じ欄に入力する際、過去に入力したテキストがメニューに表示されます。使用するテキストをメニューから選択して、欄に直接挿入します。
  • フォームを入力する前にプレビューを表示できます。実際にフォームに入力する前に自動入力される内容を確認するには、メニューの自動入力エントリにマウスを合わせます。自動で入力できるフィールドは黄色でハイライトされます。

http://support.google.com/chrome/bin/answer.py?hl=ja&answer=142893 より引用。

ブラウザのパスワード自動入力機能の脆弱性

さまざまな情報をて入力しなくても自動化できるので便利な機能です。しかし、この機能は悪用されるリスクもあるようです。(参考記事:ブラウザのパスワード自動入力機能の脆弱性:2012年08月29日)

例えば、ロケーションバーのドメインと、自動入力フォームのドメインが同じ事を検証し、そうでなければ自動入力を無効にすることで、この攻撃手法に類するすべての攻撃を排除できる。
http://causeless.seesaa.net/article/288957516.html より引用

偽物のサイトに誘導して個人情報を抜き取る詐欺サイトもありますが、フォームの自動入力を悪用する攻撃もあります。ブラウザの対応がされるまでは、不安な方は自動入力機能をオフにされておくと良いかもしれません。

ログオフをまめにする

なお、ウェブメールやSNS等にログインする時毎回入力する行為を省くため、ログインしたままにされている方が多いのではないかと私見では思います。大抵の会員制サイトは「ログインしたままの状態にする」というチェックボックスにチェックを入れる欄が用意されています。

これも出来れば毎回ログオフして、使う時だけログインした状態にするほうがオススメです。そうしたほうが個人情報を抜き取られたり自分のアカウント を乗っ取られるリスクが減るからです。毎回のログインは手間はかかりますが安全を確保するために心がけられると良いかもしれません。

マカフィー・ストア

変更履歴:この記事は2012年9月26日(水) 00:58にカンタン!ブログお引越しサービスに掲載した原稿を一部改稿しました。2013.11.19 見出しを追加しました。太字を引用以外の部分にも追加しました。2013.12.05 21:55 題名を「ブラウザのパスワード自動入力機能の脆弱性に注意しよう」から「ブラウザのパスワード自動入力機能 脆弱性への防御の勧め」に改めました。2013.12.08 19:21 見出し「ログオフをまめにする」を追加しました。

Author Profile

片岡杏紗(あさ)
国家資格キャリアコンサルタント。JCDA認定CDA(キャリア・デベロップメント・アドバイザー)。元IT系講師。ITmediaオルタナティブ・ブログでは、「教育ICT」に関する記事を連載中。http://blogs.itmedia.co.jp/kataoka/
Pocket

コメント

  • トラックバックは利用できません。
  • コメント (0)
  1. この記事へのコメントはありません。

CAPTCHA


ウェブサイト翻訳ツール

アーカイブ

Zenback

ページ上部へ戻る