このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
Twitter: @shiropen2
米ウィスコンシン大学マディソン校に所属する研究者らが発表した論文「Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields」は、HTMLソースコードからのパスワード、クレジットカード情報、社会保障番号などのユーザーデータを抽出可能なブラウザ拡張機能について、多数の人気Webサイトが脆弱であることを明らかにした研究報告である。
この結果、Webサイトでパスワードやクレジットカード番号を入力する際、知らず知らずのうちにそれらの情報が抜き取られるリスクがあることを示している。
ブラウザの拡張機能は、Webページの内容に直接アクセスする能力を持ち、JavaScriptコードの実行によりその内容の変更や操作ができる。過去の研究によれば、このようなアクセスが悪用され、メールアドレスやパスワードなどの重要なユーザーデータの読み取りや、フィッシング攻撃の実行できることが明らかにされている。これらの脆弱性を解消するため、Googleはリモートからのコードの不正注入を禁止する新たなガイドラインを導入した。
この研究では、Googleの新しいガイドライン後のテキスト入力フィールドのセキュリティを理解するために、ブラウザ拡張機能とWebページとの間の相互作用の実験的な分析を行う。入力フィールドは、ユーザー名、パスワード、クレジットカード番号、SNSなどの機密データによく使用されるため、分析対象はテキスト入力フィールドに焦点を当てている。
研究者らは、Web拡張機能とWebページの相互作用を調査した結果、7000以上のWebサイトのうち約15%が、HTMLソースコードにおいて機密情報を平文で保存していることを確認した。
これは、悪意のあるブラウザ拡張機能やサードパーティーのJavaScriptをはじめ、ページのソースコードを閲覧可能なあらゆるプログラムが、ユーザーのパスワードなどのデータを抽出可能であることを示唆する。この問題は、GoogleやCloudflare、Doordashといった多くのユーザーを持つ著名なWebサイトにも見られる。
Google Chromeブラウザの拡張機能に関する調査によれば、研究チームは1万7300の拡張機能の中で、約12.5%がこの脆弱性を利用可能な権限を持っていることを確認した。さらに、動的解析を通じて拡張機能を詳しく調べた結果、パスワードフィールドへ直接アクセスすることができる190の拡張機能を特定した。
このような拡張機能が流通するのかどうかを検証するため、研究者たちは独自の拡張機能を開発し、ChatGPTのようなAIアシスタント機能をWebサイト上で提供する形でChromeWebストアへ提出した。そして、Webストアはこの拡張機能の公開を許可した。
これらの脆弱性を解消するための方法として、2つの提案が行われている。1つ目は、パスワード変数を非公開にするためのJavaScriptライブラリ。2つ目は、パスワードフィールドへのアクセスが行われた際にユーザーに警告を出す改良版のChromeブラウザである。これらの提案は問題の一部を解決するものであり、機密情報の入力フィールドを保護するためのさらなる取り組みの重要性を強調している。
Source and Image Credits: Nayak, Asmit, Rishabh Khandelwal, and Kassem Fawaz. “Exposing and Addressing Security Vulnerabilities in Browser Text Input Fields.” arXiv preprint arXiv:2308.16321(2023).
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR