ブラウザの拡張機能がパスワードを読み取っている可能性があります
私たちは皆、自分のデータを確実に安全に保つための常識的な措置を講じる必要があります。アカウントには強力なパスワードを使用し、パスワードは決して再利用しないでください。 2 要素認証を提供するアカウントには 2 要素認証を採用します。電子メールやテキスト メッセージ内の奇妙なリンクをクリックしないようにしてください。しかし、これらすべてのルールに従っている場合でも、個人データが依然として危険にさらされる可能性があります。これは、厳密には、あなたが依存しているサービス自体がこれらのルールに従っていないためです。
一部の Web サイトではパスワードが危険にさらされています
ウィスコンシン大学マディソン校の研究者は、かなりの数のブラウザ拡張機能が Web サイトに入力した機密情報にアクセスできることを発見しました。パスワード、クレジット カード情報、社会保障番号を考えてみましょう。
この発見に関わったチームは、セキュリティ問題を打破しようとしていたわけではないと述べている。その代わりに、彼らは「ログイン ページ、特に Google ログイン ページをいじっていた」ところ、サイトの HTML ソース コードからプレーン テキストで入力したパスワードが確認できることに気づきました。彼らは他の Web サイト (伝えられるところによると 7,000 以上) に目を向けたところ、そのうちの約 15% が機密情報を平文で保存していることを発見しました。これは 1,000 を超える Web サイトが重要なデータを公開していることになります。
もちろん、そんなことは起こるべきではありません。機密データを Web サイトに入力するとき、たとえば、Google のログイン ページにパスワードを入力するとき、そのサイトはあなたのパスワードをまったく認識すべきではありません。つまり、サイトはハッシュ アルゴリズムを通じてパスワードを確認します。つまり、基本的に、パスワードをコードに混ぜ合わせて、サイト側に保存されているコードと照合することができます。その後、実際のテキストを公開することなく、正しいパスワードを入力したことを確認できます。これらのサイトは、パスワードや社会保障番号などを平文で保存することで、そのデータを知っている人に公開しています。
重要なのは、これにはブラウザ拡張機能が含まれるということです。研究者らは、17,300 個の Chrome 拡張機能 (Google のブラウザでダウンロードできる拡張機能の 12.5%) が、この機密のプレーン テキスト データを表示するために必要な権限を持っていると主張しています。新しい拡張機能を設定するときに無視する権限について考えてください。これには、Web ページに入力した内容を表示および変更するための完全なアクセス権を拡張機能に与える権限も含まれます。この状況が必ずしも拡張機能のせいではないため、研究者らは拡張機能の名前を公表しませんでしたが、範囲を考慮すると、使用している拡張機能の一部が特定のサイトに入力した機密情報にアクセスできる可能性があります。
繰り返しますが、正規の拡張機能が優先されるのではなく、開発者がプレーン テキストで保存された機密情報をスクレイピングする目的で拡張機能を作成するリスクが重要です。研究者らは、この脆弱性を積極的に悪用する拡張機能はまだ存在しないと主張していますが、これは理論的な問題ではありません。研究者たちは、このユーザー データを取得できる拡張機能を最初から作成し、Chrome ウェブストアにアップロードして承認を得ました。彼らはすぐに削除しましたが、ハッカーがこのような悪意のある拡張機能を公式ストアで入手する可能性があることが証明されました。ハッカーが拡張機能を作成しなかったとしても、既存のユーザー ベースで正規の拡張機能を取得し、脆弱性を利用するようにコードを調整し、何も疑っていないユーザーに更新された拡張機能を適用する可能性があります。これは Chrome に限らず、常に発生します。
これまでのところどう思いますか?
悪意のあるブラウザ拡張機能から機密データを保護する方法
残念ながら、これらのサイトがパスワード、クレジット カード、社会保障番号を平文で保存するのを防ぐためにできることはほとんどありません。これらの発見を受けて、Web サイトのセキュリティが向上し、Web サイト側の脆弱性が排除されることが期待されています。しかし、それは彼らの問題であり、あなたではありません。
ただし、ダメージを軽減するために実行できる手順がいくつかあります。まず、ブラウザ拡張機能の使用を必ず制限してください。使用する拡張機能が少ないほど、悪意のある拡張機能が使用される可能性が低くなります。完全に信頼できる拡張機能のみを使用し、更新を頻繁にチェックしてください。拡張機能の所有者が新しい開発者に変更された場合は、使用を続ける前にその新しい所有者を精査してください。機密情報を Web サイトと共有する場合は、拡張機能を無効にすることもできます。たとえば、公式 Web フォームで社会保障番号を入力する必要がある場合は、拡張機能を無効にしてデータを読み取れないようにすることができます。
プレーン テキストで保存できる共有データを制限することもできます。パスキーは実際にはハッカーが盗む可能性のあるプレーン テキスト データを使用しないため、オプションが与えられた場合はパスワードの代わりにパスキーを使用してください。同様に、Apple Pay や Google Pay などの安全な支払いシステムを使用してください。これらのシステムでは、支払いを行う Web サイトとクレジット カード情報が実際には共有されません。ゲームの名前は、絶対に必要な場合を除き、機密情報の入力を避け、その詳細を閲覧できる関係者を減らすことです。