ニュース
Chrome拡張機能に潜む問題を研究者らが指摘 Webサイトのパスワード窃取が可能に:セキュリティニュースアラート
研究者らがChromeの拡張機能にセキュリティリスクが存在すると指摘した。脆弱性を悪用すればWebサイトから平文パスワードを窃取できる可能性がある。
米国のウィスコンシン大学マディソン校の研究者らは2023年8月30日(現地時間)、Webブラウザ「Google Chrome」(以下、Chrome)の拡張機能にセキュリティリスクが存在すると指摘した。
Webサイトから平文パスワードを窃取できる脆弱性が見つかる
現在のChrome拡張機能は「Manifest V3」と呼ばれるプロトコルに対応しており、この仕様は以前のバージョンと比べてセキュリティやプライバシーについて改善されていると評価される。だが問題が存在しないわけではない。今回、ウィスコンシン大学マディソン校の研究者らが公開した論文がChromeの拡張機能に存在するセキュリティ上の問題点を指摘した。
研究者らはChromeとテキスト入力フィールドについて、パスワードや社会保障番号、クレジットカード情報などの機密情報に関するセキュリティを包括的に分析している。主な分析結果は次の通りだ。
- Webブラウザの粗い粒度のパーミッションモデルが、最小特権と完全な調停という2つのセキュリティ原則に違反している
- 発見した脆弱(ぜいじゃく)性を突く拡張機能を開発し、実際にWebストアのレビュープロセスをバイパスして登録できることを確認した。これを利用すれば、Webサイトのソースコードから平文パスワードを窃取できる
- GoogleやCloudflareを含む1000を超えるWebサイトのソースコード内にパスワードが平文で保存されていることを発見した
- 12.5%の拡張機能が、発見した脆弱性を悪用するために必要なパーミッションを持っていることが明らかになった。その他、パスワードフィールドに直接アクセスする拡張機能を190個特定した
研究者らはこの脆弱性に対する改善方法として主に次の2つを提案している。
- Webサイト開発者が機密性の高い入力フィールドを保護できるようにするJavaScriptパッケージを導入する
- 拡張機能が機密性の高い入力フィールドにアクセスしたときにユーザーに警告するようにChrome自体を変更する
同論文は、オンラインで機密性の高いユーザー情報を保護するためにセキュリティ対策の改善が急務であると強調されている。これらの解決案は問題の一部に対処するものであり、機密性の高い入力フィールドを保護するためのより包括的なアプローチの必要性があると言及している。
関連記事
- インシデント対応時間は短縮も…… Log4jの教訓を生かしきれていない企業たち
サイバー攻撃への対応時間は2021年から2022年の間に29日から19日に改善された。これはLog4jの脆弱性の影響が大きいという。 - なぜ経営者にリスクが正しく伝わらないのか? セキュリティリーダーに必要な“コミュ力”を磨こう
セキュリティやリスク責任者がデータに関するリスクを意思決定者に正しく伝えるためにすべきことは何か。コミュニケーションが効果的に機能するための3つのステップを紹介しよう。 - 「セキュリティ理解ゼロ」の経営層から予算を引き出すには? エンドポイント対策の現在地
企業規模の大小を問わずサイバー攻撃の標的となる可能性が増す一方で、経営層のセキュリティ対策への理解が十分とはいえない企業が多いのが実態だ。予算を確保するために「セキュリティ理解ゼロ」の経営層をいかに説得すべきか。現在押さえるべきエンドポイント対策と併せて、サイバーディフェンス研究所の名和利男氏の提言を紹介する。 - GRIPS発の「インシデント報告書」は赤裸々に語られた“生きた事例”の宝庫だった
政策研究大学院大学(GRIPS)が不正アクセス被害に関する調査報告書を公開しました。侵害の経緯から原因、対策までを生々しくかつ非常に詳細にまとめています。セキュリティ担当者“必読の書”のポイントをまとめました。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.