新たなハッキング手法が広まっています。巧妙であると同時に、非常に厄介です。新たな報告によると、攻撃者はChromeのキオスクモードを利用してブラウザを全画面モードに切り替え、Googleのパスワードを入力するまで何もできない状態にします。そして、入力した時点でパスワードは盗まれます。
OALabsのレポートでは、Googleの認証情報を盗むためのこの新しい攻撃ベクトルが観察されています。これは実際には2つの手法を組み合わせたものです。
まず、WindowsプログラムがChromeにダミーのGoogleログインページを読み込み、キオスクモードを起動します。これは、ページを全画面表示し、他のプログラムに移動できないUI機能です。まさにセルフサービス式の小売店のキオスクで見られるような機能です。一部の入力(F11キーで全画面モードを終了するなど)が無効になるため、上級ユーザーでもこれを回避できない可能性があります。
しかし、ダミーページでできることは、Googleのログイン情報とパスワードを入力することだけです。入力すると、別のプログラムがそのログインデータを取得し、リモートのハッカーに渡します。最悪の場合、ハッカーはパスワードを変更し、Gmailやその情報に関連付けられた他のアカウント、そしてGoogleのログインプラットフォームを利用するサードパーティのサービスも含め、即座にロックアウトされてしまいます。
これは個人情報窃盗犯にとって、巧妙なワンツーパンチと言えるでしょう。このツールはChromeを標的としていることが確認されていますが、キオスクモードを同様に実装した他のブラウザでも同様の攻撃が可能です。
熟練したWindowsユーザーなら、ログインプロンプトを回避できるかもしれません。おなじみのCtrl + Alt + Deleteキーボードショートカットを使えば、タスクマネージャーを開いてブラウザをシャットダウンできるはずです。しかし、このツールの組み合わせは非常に直接的で煩わしいため、長年のWindowsユーザーでさえ、反射的にGoogleのパスワードを入力してしまうかもしれません。
いつものように、何かをダウンロードする際は注意し、ダウンロード元に注意してください。また、予期せずGoogleのログインページが全画面で表示された場合は、(それを回避した後)まずウイルススキャンを実行してください。
さらに読む: Windowsに最適なウイルス対策ソフトウェア
著者: Michael Crider、PCWorld スタッフライター
マイケルはテクノロジージャーナリズムのベテランとして10年のキャリアを持ち、AppleからZTEまであらゆるテクノロジーをカバーしています。PCWorldではキーボードマニアとして活躍し、常に新しいキーボードをレビューに使用し、仕事以外では新しいメカニカルキーボードを組み立てたり、デスクトップの「バトルステーション」を拡張したりしています。これまでにAndroid Police、Digital Trends、Wired、Lifehacker、How-To Geekなどで記事を執筆し、CESやMobile World Congressなどのイベントをライブで取材してきました。ペンシルベニア州在住のマイケルは、次のカヤック旅行を心待ちにしています。
