例えば、私が使っている「Google Chrome」を例に、パスワードの保存状況を見てみましょう。機能拡張など何もしていない、標準の状態でパスワードがきっちり「生で」保存されています。右上の「三」のメニューマークから、設定→一番下の「詳細設定を表示」→「パスワードを管理」とクリックしてみてください。
ここで、「*****」と表示されているパスワードのマスク部分をクリックすると、管理者のパスワードを求められます。それを正しく入力することで、パスワードがそのまま表示されることが分かるでしょう。
このように、Webブラウザはパスワード情報を保存しており、それが復号できる状態になっています。さらにパスワードが保存されているWebサイトにアクセスすると、これらの情報が入力された状態で表示されるので、ECサイトなどでは、そのまま簡単にログインできてしまいます。
今回の手法ですが、恐らくこの仕組みを悪用し、Webブラウザが保存しているパスワードを抜き出す「機能拡張」を使った可能性もあります。
前回の記事で触れた遠隔操作プログラムによる被害も、同様のツールを使っていた形跡があったようで、PCにログインできる状態であれば「Webブラウザの保存パスワードを狙う」というのは、非常に有効な方法であると分かります。
このような手法は、わざわざネット経由で遠隔操作しなくても使えてしまいます。方法は簡単。オフィスに置かれた「隣のPC」を狙えばいいのです。もし隣の人が良からぬことを考えていたら、あなたが離席した瞬間にさっと拡張機能を入れたり、もっと単純にAmazon.co.jpや楽天などを見て、さっとギフト券を購入してそのコードをスマホで撮影する……それくらいの操作は、5分もあればできてしまうでしょう。
しかし、それを防ぐのも簡単です。セキュリティの基本の1つ、「離席時にはきっちりとPCをロックする」だけ。Windows PCであれば、Windowsキー+Lキーを同時に押すだけ、設定次第ではノートPCを閉じるだけなのですが、さまざまな状況を聞く限り、同僚を信頼しきっているのか、意外と徹底されていないのが現状です。
PC内やブラウザ内にはさまざまな「重要な情報」が入っている――Twitterパスワード漏えいの話は、セキュリティの基本を意識し、見直してみるいいきっかけになると考えています。
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。皆さんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
Copyright © ITmedia, Inc. All Rights Reserved.