プリンストン大学のIT情報ウェブサイト「Freedom to Tinker」によると、各種ウェブブラウザに搭載されているユーザー情報の自動入力機能が悪用され、ユーザーのメールアドレスなどが盗まれる状況が発生しているそうだ。
ユーザー情報の自動入力機能は、ログインマネージャやパスワードマネージャとも呼ばれ、ウェブサイトでユーザー認証が必要な場面でログインアカウントやパスワードなどの情報を自動的に入力してくれるユーザー支援機能。この機能を活用すると、ユーザーはウェブサイトごとに異なるログイン名とパスワードを記憶しなくて済むため、パスワードの使い回しを避けられて、セキュリティ強化が期待できる。ところが、自動入力機能を悪用してユーザーの個人情報を盗む攻撃スクリプトが広まっているという。
例えば、ユーザーがあるウェブサイトのログインページに必要な情報を入力し、将来そのページに自動ログインできるよう、入力した情報をウェブブラウザの自動入力機能に保存させたとしよう。そのユーザーが同じウェブサイトの別のページにアクセスした際、攻撃スクリプトが仕込まれていると問題が起きる。そのページは、画面上見えないログインフォームを表示するので、ウェブブラウザはログイン名とパスワードを自動入力してしまう。こうして、攻撃者はユーザーの情報を盗み取る。
この攻撃手法を報告した研究チームは、「Adthink」および「OnAudience」という2種類の攻撃スクリプトを見つけた。そして、「Alexa」ウェブサイトランキングの上位100万サイト中、1110サイトにこれらスクリプトが仕込まれていたとしている。
なお、多くのウェブブラウザはユーザーの操作を待たずに自動入力を実行するが、Googleの「Chrome」などのように、ユーザーがウェブページをクリックするまでパスワードを自動入力しないものもあるそうだ。
ユーザー側で可能な対策としては、疑わしいスクリプトの動作をブロックする拡張機能をウェブブラウザにインストールしたり、そもそも自動入力機能をオフにしたりすることが考えられる。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する