ウェブブラウザのパスワード自動入力機能が攻撃対象に--ユーザー情報が盗まれる

　プリンストン大学のIT情報ウェブサイト「Freedom to Tinker」によると、各種ウェブブラウザに搭載されているユーザー情報の自動入力機能が悪用され、ユーザーのメールアドレスなどが盗まれる状況が発生しているそうだ。

提供：見えないログインフォームでユーザー情報を盗む（出典：プリンストン大学）

　ユーザー情報の自動入力機能は、ログインマネージャやパスワードマネージャとも呼ばれ、ウェブサイトでユーザー認証が必要な場面でログインアカウントやパスワードなどの情報を自動的に入力してくれるユーザー支援機能。この機能を活用すると、ユーザーはウェブサイトごとに異なるログイン名とパスワードを記憶しなくて済むため、パスワードの使い回しを避けられて、セキュリティ強化が期待できる。ところが、自動入力機能を悪用してユーザーの個人情報を盗む攻撃スクリプトが広まっているという。

　例えば、ユーザーがあるウェブサイトのログインページに必要な情報を入力し、将来そのページに自動ログインできるよう、入力した情報をウェブブラウザの自動入力機能に保存させたとしよう。そのユーザーが同じウェブサイトの別のページにアクセスした際、攻撃スクリプトが仕込まれていると問題が起きる。そのページは、画面上見えないログインフォームを表示するので、ウェブブラウザはログイン名とパスワードを自動入力してしまう。こうして、攻撃者はユーザーの情報を盗み取る。

　この攻撃手法を報告した研究チームは、「Adthink」および「OnAudience」という2種類の攻撃スクリプトを見つけた。そして、「Alexa」ウェブサイトランキングの上位100万サイト中、1110サイトにこれらスクリプトが仕込まれていたとしている。

　なお、多くのウェブブラウザはユーザーの操作を待たずに自動入力を実行するが、Googleの「Chrome」などのように、ユーザーがウェブページをクリックするまでパスワードを自動入力しないものもあるそうだ。

　ユーザー側で可能な対策としては、疑わしいスクリプトの動作をブロックする拡張機能をウェブブラウザにインストールしたり、そもそも自動入力機能をオフにしたりすることが考えられる。