Google ChromeなどのWebブラウザで、フォームに情報が自動入力されるオートコンプリート機能について、名前など一部の情報を入力しただけで、ユーザーが知らないうちに住所や電話番号、会社名といった情報まで送信させるフィッシング詐欺攻撃に悪用できてしまう問題をWeb開発者が指摘した。
自動入力機能は、Chromeではデフォルトで有効になっており、名前や組織名、住所、電話、メールアドレスなどの情報が保存されてフォームに自動的に入力される。
フィンランドのWeb開発者Viljami Kuosmanen氏は、この機能を悪用したフィッシング詐欺のデモページをGitHubに掲載した。このページで名前とメールアドレスのみを入力して「送信」ボタンをクリックすると、自動入力機能で保存されていた電話番号、組織名、住所といった情報までが、ユーザーの知らないうちに送信されてしまう。
この問題はユーザーのセキュリティリスクを生じさせるとKuosmanen氏は指摘し、「オートコンプリートを使うべきではない理由」という記事にもリンクを張って警鐘を鳴らしている。
他のブラウザの場合、AppleのSafariでは全データがフォームに入力されているという告知は出るものの、ユーザーの目には見えないという。MozillaのFirefoxでは各項目ごとに自動入力が行われるため、この問題の影響は受けないとされる。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR