ウェブブラウザにパスワードやクレジットカード情報を記憶させるのは便利ですが、セキュリティリスクも伴います。リスクの程度は、使用しているブラウザ、他のデバイスとの同期の有無、ブラウザの追加セキュリティ機能の使用状況によって異なります。ここでは、Internet Explorer、Google Chrome、Mozilla Firefoxといった主要なブラウザの主な脆弱性と、それらの脆弱性から身を守る方法をご紹介します。
一般的なセキュリティリスク
ブラウザにパスワードを保存することの最大の問題は、覗き見される可能性があることです。あなたのコンピュータにアクセスできる他のユーザーがあなたのアカウントにログインし、実際のパスワードやクレジットカード情報を見ることができるだけでなく、コンピュータ、スマートフォン、タブレットを紛失したり盗難に遭ったりした泥棒も同様にあなたの情報を見ることができます。また、PCを処分する際にデータを適切に消去していない場合も同様のリスクがあります。次にそのPCを手にした人が、あなたの情報を復元できる可能性があります。さらに、一部のウイルスやマルウェアは、保存したパスワードやクレジットカード情報を盗む可能性があります。
ご存知の通り、銀行のサイトをはじめ、機密性の高い情報を扱う多くのサイトでは、ブラウザにパスワードを保存できません。しかし、機密性の高いサイトで、安全性の低いサイトと同じ、あるいは似たようなパスワードを使用している場合、例えば銀行のパスワードを他人に簡単に推測されてしまう可能性があります。
一部のブラウザでは、サイト、ユーザー名、パスワードなど、保存されているログイン認証情報のリストをユーザー(または場合によっては窃盗犯)が閲覧できます。リストを閲覧できないブラウザでも、WebBrowserPassViewなどのユーティリティを使えば簡単にリストを作成できます。これは、パスワードを忘れた場合や、すべてのパスワードを確認したい場合に便利ですが、侵入者がこのようなソフトウェアをコンピュータで使用している場合は問題となります。保存されたパスワードを復元するもう1つの方法は、BulletsPassViewなどのユーティリティを使用して、Webページやウィンドウ上のマスクされたパスワードフィールドの背後にあるパスワードを表示することです。
次のセクションでは、Internet Explorer 9、Chrome、Firefox という 3 つの一般的なブラウザの資格情報保存機能を評価し、セキュリティを強化するためのヒントを紹介します。
インターネット エクスプローラー 9
Internet Explorer 9は、ここで紹介する3つのブラウザの中で、最も基本的なパスワード保存機能を備えています。オートコンプリート機能は、Webフォームや検索フィールドに入力した名前、住所、その他のデータを記憶します。ブラウザ設定から保存されたパスワードを確認する方法は提供されておらず、主な設定を変更することと、オートコンプリートの履歴をすべて削除することしかできません。
パスワードリストを表示できないようにすることで、不用意な覗き見を防ぐことができます。ブラウザがパスワードを保存したサイトにログインすることはできますが、デフォルトではパスワード自体を表示できません。しかし、前述のように、意志の強いハッカーはユーティリティを使って、保存されているすべてのパスワードリストを表示したり、ログインページのパスワードフィールドの実際の文字を暴いたりすることができます。
残念ながら、Internet Explorer 9 では、設定や保存したデータを複数のコンピューターやデバイス間で同期させるネイティブの同期機能は提供されていませんが、セキュリティの観点からは、少なくとも心配しなければならないセキュリティ リスクが 1 つ減ります。
Windows 8のInternet Explorer 10では、新しいパスワード保存・同期機能が提供されますが、Windows 7でも利用できるかどうかはまだ明らかではありません。Internet Explorer 10とWindows 8のリリースプレビューをテストしたところ、コントロールパネルの「資格情報マネージャー」の機能強化により、保存済みのブラウザパスワードを表示・管理できることがわかりました。また、セキュリティ上の理由から、実際に保存されたパスワードを表示する前に、Windowsアカウントのパスワードを再入力する必要があります。これにより、他人による不正な覗き見を防ぐことができます。
Windows 8 には、アプリ、ウェブサイト、ネットワークのパスワードに加え、Windows の設定や環境設定を他の Windows 8 コンピューターやタブレット間で同期できる新しい同期機能も提供されます。セキュリティ上の理由から、新しいコンピューターやタブレットとパスワードを同期する前に、Microsoft サイトにログインして新しいデバイスを承認する必要があります。また、Microsoft アカウントで事前に携帯電話番号を指定している場合は、携帯電話に確認コードがテキストメッセージで送信されます。このコードを Microsoft サイトで入力すると、信頼が確立され、パスワードが同期されます。
Google Chrome 21
Google Chromeは、Internet Explorerよりも豊富なパスワード保存機能と、クレジットカード情報も記録できる自動入力機能を備えています。しかし、これらの機能は時間を節約する上で非常に役立ちますが、セキュリティリスクも高くなります。
Chrome を使用すると、ユーザー (または窃盗犯) は、保存されているユーザー名とパスワードのリスト (サイト名のアルファベット順) を閲覧したり、検索フィールドにサイト名を入力してリストをフィルタリングしたりできます。
プライバシー保護のため、Chromeは保存されているパスワードをアスタリスクで隠していますが、エントリをクリックして「表示」ボタンを押すと、実際のパスワードが表示されます。パスワードを変更することもできますが、残念ながらChromeはパスワードの変更を検知しないため、新しいパスワードでサイトにログインしてもプロンプトが表示されません。保存されているパスワードエントリにアクセスして、手動で更新する必要があります。
保存されているすべての住所とクレジットカード情報(カード名義、口座番号、有効期限を含む)のリストを表示できます。Chromeではクレジットカード番号の一部がアスタリスクで隠されていますが、該当する項目をクリックして「編集」をクリックすると、番号全体が表示されます。保存されないカード情報はセキュリティコードのみです。セキュリティコードは購入時に必要となることがよくありますが、必ず必要になるわけではありません。
残念ながら、ChromeにはFirefoxのようなマスターパスワード機能がなく、すべてのパスワードとクレジットカード情報を保護できません。そのため、Windowsアカウントにログインした人は誰でも、保存されているすべてのパスワードとクレジットカード情報を閲覧できてしまいます。
Chromeには、ほとんどの設定と保存データ(パスワードを含むがクレジットカード情報は除く)を複数のパソコンやデバイス間で同期する同期機能がありますが、これは新たなセキュリティ上の脆弱性を生み出します。Chromeのデフォルトでは、新しいパソコンやデバイスを設定して閲覧データを同期させる際に、Googleアカウントのパスワードを入力するだけで済みます。これは非常に便利ですが、Googleアカウントのパスワードがハッキングされた場合、後ほど説明するように同期パスフレーズを設定しない限り、侵入者がすべてのパスワードリストにアクセスできてしまう可能性があります。
保存したパスワードを同期中に安全に保つため、Chrome はパスワードをパソコンやデバイスから Google のサーバーへ(そしてその逆方向へ)送信する際に暗号化します。また、その他の同期データもすべて暗号化するようにブラウザを設定することもできます。
Chrome はデフォルトで Google アカウントのパスワードを使用して同期データの暗号化と復号化を行いますが、同期データの保護をさらに強化したい場合は、別のパスフレーズを入力することもできます。新しいパソコンやデバイスで Chrome を同期するように設定する場合は、Google アカウントのパスワードでログインし、暗号化パスフレーズも入力する必要があります。
ファイアフォックス14
FirefoxはChromeよりも優れた高度なパスワード保存機能を提供しています。Firefoxはクレジットカード情報の保存をネイティブでサポートしていませんが、少なくともセキュリティ上の懸念事項が一つ減ります。Chromeと同様に、Firefoxの設定から保存したパスワードを閲覧、検索、削除できます。
設定でパスワードを変更することはできませんが、Firefox は他の場所で行われたパスワードの変更を自動的に感知し、PC に保存されているパスワードと異なるパスワードでサイトにログオンするときに、パスワードを更新するかどうかを確認します。
Chrome とは異なり、Firefox では、保存されたパスワード リストを暗号化してパスワード保護するためのマスター パスワードを設定できます。
保存したパスワードを初めて使用する際には、ブラウザセッションごとに1回、マスターパスワードを入力する必要があります。また、初回にマスターパスワードを入力しても、Firefoxの設定リストで保存したパスワードを確認する前に必ずマスターパスワードを入力する必要があります。これは、パスワードの偶発的な盗聴を防ぐのに非常に役立つ機能であり、ほとんどのサードパーティ製ユーティリティによるパスワードの復元も阻止します。
Firefox では、パスワード、設定、その他の保存データを複数のコンピューターやデバイス間で同期することもできます。
これはChromeの機能と似ていますが、Firefoxはデフォルトで保存済みのパスワードだけでなく、同期されたすべてのデータを暗号化します。さらに、Firefox Syncアカウントに新しいコンピューターやデバイスを追加すると、セキュリティが強化されます。新しいデバイスのパスコードを既に設定済みのデバイスに入力するか、既に設定済みのデバイスから回復キーを取得し、Firefox Syncアカウントにログイン後に新しいデバイスに入力することで、セキュリティを強化できます。
まとめ
Internet Explorer 9 は、設定内に保存されたパスワードのリストがないため、偶発的なスヌーピングを防止できますが、Windows アカウントの誰かがサードパーティのユーティリティを使用してパスワードを回復するのを防ぐための高度なセキュリティ機能は提供していません。
Google Chrome 21では、Windowsアカウントのユーザー全員が保存済みのパスワードとクレジットカード情報の一覧を閲覧できるため、アクセスを許可する相手には注意が必要です。また、複数のパソコンやデバイス間で閲覧データを同期している場合は、すべてのデータの暗号化をオンにし、カスタムパスフレーズを設定して二重の保護を図ることを検討してください。
Firefox 14では、デフォルトでWindowsアカウントの誰でも保存済みのパスワードリストを閲覧できますが、マスターパスワードを作成して暗号化し、保護することができます。また、ブラウザ同期機能を使用すれば、Firefoxは優れたセキュリティを提供します。
私たちがレビューした 3 つのブラウザのうち、マスター パスワード機能のおかげでパスワードのセキュリティが最も優れているのは Firefox だと私は思いますが、Windows 7 と 8 の両方に対応した Internet Explorer 10 の最終バージョンも楽しみにしています。
パスワードのセキュリティを強化するために役立つ追加のヒントをいくつか紹介します。
- パスワードを保存したり、他の人のコンピューターにブラウザデータを同期したりしないでください。
- 少なくとも銀行やその他の機密性の高いアカウントについては、サイトごとに異なるパスワードを使用するようにしてください。
- Windows アカウントをパスワードで保護します。
- 各ユーザー、または少なくとも完全に信頼できないユーザーに対しては、個別の Windows アカウントを作成します。
- 親戚や友人の場合は、ゲスト Windows アカウントをご利用ください。
- 優れたウイルス対策プログラムを使用し、常に最新の状態に保ってください。
- ノートパソコン、ネットブック、モバイルデバイスを完全に暗号化することを検討してください。
- LastPass や KeePass などのサードパーティのパスワード管理サービスを検討してください。
エリック・ガイヤーはフリーランスのテックライターです。企業向けクラウドベースWi-Fiセキュリティサービスを提供するNoWiresSecurityと、オンサイトコンピューターサービスを提供するOn Spot Techsの創設者でもあります。
