ニュース
Webブラウザの自動入力機能、個人情報盗むフィッシング詐欺に悪用の恐れ
名前など一部の情報を入力しただけで、ユーザーが知らないうちに住所や電話番号、会社名といった情報まで送信してしまう恐れがある。
Google ChromeなどのWebブラウザで、フォームに情報が自動入力されるオートコンプリート機能について、名前など一部の情報を入力しただけで、ユーザーが知らないうちに住所や電話番号、会社名といった情報まで送信させるフィッシング詐欺攻撃に悪用できてしまう問題をWeb開発者が指摘した。
自動入力機能は、Chromeではデフォルトで有効になっており、名前や組織名、住所、電話、メールアドレスなどの情報が保存されてフォームに自動的に入力される。
フィンランドのWeb開発者Viljami Kuosmanen氏は、この機能を悪用したフィッシング詐欺のデモページをGitHubに掲載した。このページで名前とメールアドレスのみを入力して「送信」ボタンをクリックすると、自動入力機能で保存されていた電話番号、組織名、住所といった情報までが、ユーザーの知らないうちに送信されてしまう。
Viljami Kuosmanen氏がGitHubに掲載したフィッシング詐欺のデモページ。名前とメールアドレスのみを入力して「送信」ボタンをクリックすると、自動入力機能で他の情報(右下)も送信されてしまう
この問題はユーザーのセキュリティリスクを生じさせるとKuosmanen氏は指摘し、「オートコンプリートを使うべきではない理由」という記事にもリンクを張って警鐘を鳴らしている。
他のブラウザの場合、AppleのSafariでは全データがフォームに入力されているという告知は出るものの、ユーザーの目には見えないという。MozillaのFirefoxでは各項目ごとに自動入力が行われるため、この問題の影響は受けないとされる。
関連記事
- 秘密の質問「母親の旧姓」、読めないんですけど……
ask.fmで「初めて観た映画のタイトルは?」なんていう質問が投げかけられる話が盛り上がっています。これは……どうやら、特定のWebサービスの「秘密の質問」そのもののようです。 - 「秘密の質問」の賢い使い方、IPAが指南
質問に対して“正直”に答えを設定してはいけません。 - 安易なパスワードの2015年版ランキング、上位は?
「1234567890」など数字の羅列を長くしただけのパスワードは、「セキュリティ対策としては無意味」だとSplashDataは指摘する。 - Gmailの宛先オートコンプリートのバグで誤送信が多発
Gmailの宛先オートコンプリートにバグがあり、このバグの影響を受けた一部のユーザーがうっかり間違った宛先にメールを送信してしまう事故が多発している。Googleは問題を特定しており、現在バグを修正中だ。【UPDATE】27日に修正が完了した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.