セキュリティ研究者が、AppleのSafariウェブブラウザに脆弱性を発見しました。この脆弱性を悪用されると、攻撃者が個人情報を抜き取る可能性があります。Safariの脆弱性はより深刻ですが、この問題はオートフィル全般に潜むプライバシーとセキュリティ上の懸念を浮き彫りにしています。
WhiteHat Securityの創設者兼CTOであるジェレミア・グロスマン氏は、攻撃者が悪意のあるWebフォームを利用して、SafariにAppleのアドレスブックに保存されている情報から、名前、住所、メールアドレスなどの機密情報を自動入力させる可能性があると報告しました。この問題は、Safariでデフォルトでオンになっている「アドレスブックカードの情報を使用」というフォーム入力オプションに起因しています。
グロスマン氏は、この問題はオープンソースのWebKitエンジンをベースに構築されたすべてのブラウザ(Mac OS XとiOSのSafari、そしてGoogle Chromeブラウザを含む)に影響を与えると示唆している。しかし、この概念実証は最新バージョンのChromeでは動作せず、iOSではユーザーの介入が必要となる。
良い面としては、このセキュリティ上の欠陥は、Mac OS X で実行されている Safari Web ブラウザにほぼ限定されているようです。ただし、Mac OS X はオペレーティング システム市場の約 5% を占めるにすぎず、すべての Mac OS X ユーザーが Web の閲覧に Safari に依存しているわけではないため、この問題の潜在的な影響は比較的小さいと考えられます。
グロスマン氏は、Safari のオートフィル ハッキングに関するブログ記事で、他のブラウザやオペレーティング システムのオートフィル機能との違い、特にこの問題について指摘し、Safari では、攻撃者が悪意のある Web サイトにアクセスすると、「攻撃者がそのサイトを一度も訪れたことがなく、個人情報を入力したことがない場合でも」機密データを攻撃者に引き渡してしまうという点を挙げています。
Safariのハッキングによって、特定のフィールドに入力されていない情報が漏洩する可能性があるという事実は、この問題をより深刻なものにしています。しかし、現実には、あらゆるブラウザやOSのオートフィル機能は、ある程度のセキュリティとプライバシーの懸念を伴います。オートフィルは、利便性を優先する代わりに、セキュリティとプライバシーをある程度犠牲にしなければならない機能です。
オートフィルは、情報を保存しておき、次回必要になった際に自動的に入力できるようにすることで、生活をよりシンプルにするように設計されています。この機能は、ユーザーが氏名、住所、電話番号、メールアドレスなどのフィールドに入力するフォームデータで最もよく使用されます。データがオートフィルに保存されると、次回同様のフォームフィールドを開いた際に、フィールドをクリックするだけでオートフィルに保存されているエントリのリストが表示されます。また、入力を開始すると、入力内容に一致するオートフィルの情報がエントリに自動的に入力されます。
Grossman が Safari のオートフィル ハッキングを使用して情報を抽出するために使用したのと同様の方法で、攻撃者は、共通のフィールドを持つ悪意のある Web フォームを作成し、目に見えない形でアルファベットの各文字をテストしてどのようなオートフィル エントリが存在するかを確認することにより、ユーザーがオートフィル機能に保存した情報を抽出することもできます。
オートフィルは、他の方法でも機密情報を漏洩させる可能性があります。Webブラウザのアドレスバーのオートフィル機能では、アクセスしたURLが漏洩してしまう可能性があります。また、Microsoft Excelなどのプログラムのオートフィル機能では、他のフィールドに以前に入力されたデータや情報が漏洩してしまう可能性があります。
誰もがオートフィルを放棄し、必要な時に毎回同じ情報を入力しなければならないという面倒な作業に戻るべきだと言っているのではありません。しかし、IT管理者や一般のユーザーには、ユーザーにとって便利な機能が、攻撃者にとってそこに保存されているデータの侵害や不正利用を容易にする機能でもあることを理解してほしいと考えています。
TonyのFacebookページをフォローするか、[email protected]までメールで連絡を取ることができます 。また、 @Tony_BradleyPCWとしてもツイートしています。
