Chrome拡張機能に潜む問題を研究者らが指摘 Webサイトのパスワード窃取が可能に：セキュリティニュースアラート

研究者らがChromeの拡張機能にセキュリティリスクが存在すると指摘した。脆弱性を悪用すればWebサイトから平文パスワードを窃取できる可能性がある。

[後藤大地，有限会社オングス]

　米国のウィスコンシン大学マディソン校の研究者らは2023年8月30日（現地時間）、Webブラウザ「Google Chrome」（以下、Chrome）の拡張機能にセキュリティリスクが存在すると指摘した。

ウィスコンシン大学マディソン校の研究者らはChromeの拡張機能にセキュリティリスクが存在すると指摘した（出典：Cornell UniversityのWebサイト）

Webサイトから平文パスワードを窃取できる脆弱性が見つかる

　現在のChrome拡張機能は「Manifest V3」と呼ばれるプロトコルに対応しており、この仕様は以前のバージョンと比べてセキュリティやプライバシーについて改善されていると評価される。だが問題が存在しないわけではない。今回、ウィスコンシン大学マディソン校の研究者らが公開した論文がChromeの拡張機能に存在するセキュリティ上の問題点を指摘した。

　研究者らはChromeとテキスト入力フィールドについて、パスワードや社会保障番号、クレジットカード情報などの機密情報に関するセキュリティを包括的に分析している。主な分析結果は次の通りだ。

• Webブラウザの粗い粒度のパーミッションモデルが、最小特権と完全な調停という2つのセキュリティ原則に違反している
• 発見した脆弱（ぜいじゃく）性を突く拡張機能を開発し、実際にWebストアのレビュープロセスをバイパスして登録できることを確認した。これを利用すれば、Webサイトのソースコードから平文パスワードを窃取できる
• GoogleやCloudflareを含む1000を超えるWebサイトのソースコード内にパスワードが平文で保存されていることを発見した
• 12.5％の拡張機能が、発見した脆弱性を悪用するために必要なパーミッションを持っていることが明らかになった。その他、パスワードフィールドに直接アクセスする拡張機能を190個特定した

　研究者らはこの脆弱性に対する改善方法として主に次の2つを提案している。

• Webサイト開発者が機密性の高い入力フィールドを保護できるようにするJavaScriptパッケージを導入する
• 拡張機能が機密性の高い入力フィールドにアクセスしたときにユーザーに警告するようにChrome自体を変更する

　同論文は、オンラインで機密性の高いユーザー情報を保護するためにセキュリティ対策の改善が急務であると強調されている。これらの解決案は問題の一部に対処するものであり、機密性の高い入力フィールドを保護するためのより包括的なアプローチの必要性があると言及している。