「Safari」のオートフィル機能に個人情報漏えいのおそれ--セキュリティ研究者が警告

　Appleのブラウザ「Safari」でオートフィル機能を有効にしている場合、ユーザーの意図に関わりなく個人情報が漏れるおそれがあると、米国時間7月21日にセキュリティ研究者が報告した。この問題はSafariだけに影響するのか、それともGoogleの「Chrome」を含むすべてのWebKitベースのブラウザに影響するのかは分かっていない。SafariおよびChromeのユーザーは、さらなる情報が明らかになるまで、ただちにオートフィル機能を無効にすることが推奨される。

　WhiteHat Securityの最高技術責任者（CTO）であるJeremiah Grossman氏は、21日付けのブログ記事でエクスプロイトを実証し、現行の「Safari 5」および以前の「Safari 4」の両方が影響を受けると書いている。この脆弱性はかなり深刻なもので、ユーザーが悪意あるウェブサイトを訪れたとき、サイト上で個人情報を何も入力しなくても、またこれまでに訪れたことのないサイトであっても、Safariからオートフィル情報へのアクセスを許してしまう、と同氏は述べた。

　悪意あるウェブサイトが住所など必要に応じた名前で動的フォームのテキストフィールドを作成し、JavaScriptを使ってAからZのキー入力を模倣するだけで、データが自動的に取り込まれることになる、とGrossman氏はブログで説明した。これは、たとえテキストフィールドがサイト訪問者から見えないように隠されていたとしても機能する、と同氏は述べている。さらに同氏は、セキュリティ研究者にとっての「最適な行動」とされる手順に従って、Appleに対し6月17日に同セキュリティの脆弱性を通知したが、自動的に返ってくるメッセージを受け取っただけであることも明らかにした。

　しかし、この問題は新しいものでない可能性もある。2009年4月のブログ記事でスイスのセキュリティ研究者Patrice Neff氏が、これと非常によく似た脆弱性について明らかにしている。これはSafariがユーザーの同意なしに誕生日を漏らしてしまうというもので、多くの人が気づいていなかった。Neff氏は、Safariブラウザから情報を収集できるスクリプトを記述してみせた。現時点では、これらの問題が同一のものか、結果が似ているだけなのかは不明だ。

　オートフィル機能の脆弱性に関して、Appleの声明は具体的なことを伝えていない。「われわれはセキュリティおよびプライバシを非常に重要視している。問題は認識しており、修正に取り組んでいる」とAppleは述べている。

　Googleはこの問題についてコメントしなかったが、Chromeの場合はテキストフィールドに情報を入れるのにユーザーの確認が必要で、これをJavaScriptで模倣することはできないため、同様のオートフィル機能の脆弱性はないとしている。