ブラウザの自動入力機能による個人データの漏洩を防ぐ方法

ほとんどの人と同じように、迷惑なWebフォームを完成させるためにブラウザの自動入力に依存しています。ブラウザの「自動入力」は、以前にこれらのフィールドに入力した情報に基づいて、Webフォームのフィールドに情報を自動的に入力します。

悪いニュースは、悪意のあるサードパーティやブラックハットハッカーがブラウザのこの自動入力機能を使用して、機密情報を提供するように仕向けることができることです。フィンランドのホワイトハッカーであり、Web開発者でもあるViljami Kuosmanenは、GitHubデモで、攻撃者がプラグイン、パスワードマネージャー（およびそのようなツール）、ブラウザーのオートフィル機能を乗っ取る可能性があることを示しました。

クオスマネンのずっと前に、ElevenPathsのセキュリティアナリストであるリカルドマーティンロドリゲスは、2013年にこのブラウザのオートフィルの脆弱​​性を発見しました。これまでのところ、Googleはこの脆弱性の解決策を見つけていません。

無意識のうちに機密情報をこぼす

クオスマネンの概念実証デモウェブサイトには、名前とメールアドレスの2つのフィールドのみで構成されるシンプルなウェブフォームが表示されます。ただし、フォームには多くの非表示の（つまり見えない）フィールドがあります。これらの非表示フィールドには、住所、組織、電話番号、都市、郵便番号、国が含まれます。

上記のようなフォームでは、名前とメールのフィールドのみが表示されますが、自動入力機能により、残りのフィールドに詳細が自動的に入力されます。上記のようなフィッシングWebフォームでは、[送信]ボタンをクリックしたときに認識しているよりも多くの情報が収集されます。

ブラウザと拡張機能の自動入力機能をテストするには、Kuosmanenが設定した概念実証サイトを使用できます。フォームを送信すると、私が提供したよりも多くの情報が取得されていることに気付きました。このテストには最新のMozillaFirefoxを使用しましたが、流出した情報の量に驚いていました。

Chromeでは、財務データの自動入力により、HTTPSのないWebサイトに対して警告がトリガーされます。私の経験では、Kuosmanenのフォームは、フォームに入力した日付、住所、クレジットカード番号、CVV、クレジットカードの有効期限、市、国、電子メール、名前、組織、電話番号、および郵便番号を収集しようとしました。

フォームは、ブラウザの種類や現在のIPアドレスなどのメタデータを収集しようとしました。以下の私のスクリーンショットを参照してください。

クオスマネンの攻撃テストでは、Apple Safari、Google Chrome、Operaはすべて脆弱でした。

2017年1月、Mozillaの主任セキュリティエンジニアであるDaniel Veditzは、Firefoxブラウザをだましてプログラムでテキストボックスに入力させることはできないと述べました。ブラウザにはマルチボックスオートフィルシステムがないため、Firefoxユーザーはブラウザのオートフィル攻撃から安全です（少なくとも今のところ）。 MozillaのFirefoxブラウザでは、ユーザーがWebフォームの各テキストボックスに事前に入力されたデータを手動で選択する必要があります。

結論：ブラウザの自動入力機能をオフにします

フィッシング攻撃に対する最も簡単な予防策は、ブラウザ、拡張機能設定、またはパスワードマネージャでフォームの自動入力機能をオフにすることです。ブラウザの自動入力機能は、デフォルトでオンになっています。

Chromeで自動入力をオフにするには：

1.ブラウザの「設定」に移動します。

2.ページの下部にある[詳細設定]を見つけます。

3. [パスワードとフォーム]領域で、[自動入力を有効にする]のチェックを外します。

Operaでオートフィルをオフにするには：

1.[設定]に移動します。

2.「オートフィル」に移動してオフにします。

Safariで自動入力をオフにするには：

1.「設定」に移動します。

2.[自動入力]をクリックしてオフにします。

この投稿が役に立った場合は、下の[はい]をクリックしてください。コメントもお待ちしております。