Googleは、Chromeがユーザーの保存パスワードを、ユーザーのコンピュータにアクセスできる誰にでも、誰にでも公開できるという点をめぐり、深刻な批判にさらされている。しかし、Googleはこの措置を擁護し、Chromeのセキュリティ技術責任者は、パスワード保護対策の強化は「誤った安心感」を与えるだけだと主張している。
この問題は、ユーザーが保存したパスワードをChromeが保存する方法に関係しています。これらのパスワードはすべてchrome://settings/passwordsにリストされています。このリストでパスワードをクリックし、「表示」ボタンをクリックすると、パスワードがプレーンテキストで表示されます。
これは Chrome の新しい「機能」ではありませんが、最近ソフトウェア開発者の Elliot Kember によって明らかにされました。
「[ユーザーは]パスワードがこんなに簡単に見られるとは思っていません」とケンバー氏はブログ記事に記した。「毎日、何百万人もの普通のユーザーがChromeにパスワードを保存しています。これは許されません。」
Chromeセキュリティ責任者のジャスティン・シュー氏は、この手法を擁護し、誰かがあなたのコンピュータとOSレベルのアカウントにアクセスできれば、セキュリティは既に侵害されていると述べた。シュー氏によると、その時点で攻撃者はシステムレベルでマルウェアをインストールしたり、その他の機密データにアクセスしたりする可能性があるという。「しかし、それ以上になると、OSユーザーアカウント内の境界は信頼できず、ほとんどが単なる見せかけに過ぎないことが判明しました」とシュー氏は述べている。
シュー氏の指摘は、深刻な攻撃者を撃退するという点では一理ある。しかし、もっと気軽な覗き見、例えば信頼できない友人、兄弟、配偶者、同僚などによる覗き見についてはどうだろうか?こうしたユーザーがマルウェアをインストールするまでには至らないだろうが、誰かのFacebookやTwitterのパスワードをちらっと見ることはあり得るだろう。シュー氏はこの点については触れていない。
シュー氏の論理にはもう一つ問題点がある。彼はChromeを、単に別のOS内に存在するソフトウェアとしか見ていないのだ。しかし、ChromeはますますOS内のOSとなり、DropboxやGoogle Driveといったウェブアプリに大量の機密データを保存している。あなたのパソコンに短時間アクセスした人はこれらのアプリを覗き見ることはできるかもしれないが、パスワードを知っている人は他のどのマシンからでもあなたのアカウントを継続的に監視できる。Chromeは、あなたの近くにいる人が簡単にパスワードを入手できるようにしているのだ。
狂気を止めろ
少しでも不安な点があれば、いくつか選択肢があります。まず、Chromeでパスワードを保存しないようにするには、「設定」>「詳細設定」に移動し、「パスワードとフォーム」の下にある「パスワードの保存を確認する」のチェックボックスをオフにします。右側にある「保存済みパスワードを管理」をクリックすると、Chromeに保存されているすべてのパスワードを消去できます。あるいは、この「脆弱性」が実際にどのように機能するかを確認することもできます。
パスワードの再入力が面倒な場合は、LastPassやKeepassなどのパスワード管理ツールの使用を検討するか、可能な場合はGoogle、Facebook、Twitterなどの認証を使ってウェブサイトにログインすることもできます。ただし、悪意のある人物があなたのソーシャルメディアのプロフィールを盗用した場合、新たな問題が発生する可能性があります。もう一つの選択肢は、パソコンを他人に貸す際は、Chromeの設定で「Googleアカウントの接続を解除」することです。
しかし理想的には、Googleはユーザーがパスワードを表示しようとするときに、新たにサインインを要求するだけで済むはずです。それではハッカーがあなたのPCにアクセスするのを阻止することはできませんが、ユーザーに大きな負担をかけることなく、覗き見を防ぐことができます。保存されたパスワードをプレーンテキストで表示するFirefoxには、まさにそれを実現する「マスターパスワード」オプションが用意されています。ただし、この機能は設定に時間をかけなければ利用できません。
