ブラウザ利用の脆弱(ぜいじゃく)性とは

皆さんもよく利用されているブラウザ(Chrome等)ですが、セキュリティに穴が発見されたことが話題になりました。
今回は、この問題を取り上げます。

実は危険なテキスト入力

これは、大手企業や官公庁のサイトのHTMLソースコードに『平文』でパスワードが保存されていたというもの。平文とは暗号化されていないプレーンテキストのままのデータのこと。これは、データに鍵をかけておらず抜き取られる危険性が非常に高い状況。

この脆弱(ぜいじゃく)性を発見して分析した専門家達は、機密データを「抜き取る」テスト用拡張機能を作成、いとも簡単にChromeウェブストアにアップロードできたことを明かしています。

原因分析

今回、特定された不具合は拡張機能がウェブページの内部コードにアクセスする方法に起因していることが報告されています。

多くのサイトは、HTMLなどで記述されたドキュメントをプログラムで操作できるようにするドキュメントオブジェクトモデル(DOM)という仕組みで動作しており、今回この拡張機能がDOMツリーに無制限にアクセスできてしまう問題が要因となってソースコードにある機密データを容易に抜き出せるのではと研究チームは分析しています。

Googleは今年「マニフェストV3」といわれる仕様をChromeに導入、拡張機能がアクセス可能な情報の種類に厳しい制限をかけました。ところが、マニフェストV3は拡張機能とウェブページとの間にセキュリティ境界をもうけておらず問題の解消につながっていません。

深刻な状況

研究チームは、パスワード入力フィールドに直接アクセスできる拡張機能190個を特定、その中にはダウンロード数10万回を超える人気の高い機能も含まれます。この脆弱性を悪用できる権限を持つ拡張機能が全体の12.5%に当たる約1万7300個あることもすでに確認されています。

さらに、研究チームは利用者数の多い大手サイトや政府系サイトなど多くのサイトが、ユーザーパスワードをプレーンテキスト形式で保存していることを突き止めました。下記リストアップされた企業・組織はほんの一例です。

  • Amazon(amazon.com):セキュリティコードを含むクレジットカード情報と郵便番号がページのソースコードに平文形式で表示
  • Gmail(gmail.com):HTMLソースコードに平文パスワードで保存
  • Cloudflare(Cloudflare.com):同上
  • Facebook(facebook.com):DOM API経由でユーザー入力情報を抽出可能
  • シティバンク銀行(citibank.com):同上
  • アメリカ内国歳入庁(irs.gov):社会保障番号(SSN)がウェブページのソースコードに平文形式で表示

各社の対応状況

研究チームは「Google・Amazonなどの主要オンラインマーケットプレイスは、クレジットカード入力フィールドにいかなる保護も実装していない。これらウェブサイトの規模と取引量を考慮してもサイトが保護されていないことは特に懸念される状況である」と報告。

この報告を受けたAmazon広報担当者は「ブラウザと拡張機能の開発者に対して、セキュリティのベストプラクティスを活用、サービスを利用する顧客をさらに保護することを推奨します」とのコメントを発表。また、Google広報担当者は問題を調査中と述べています。

いづれにせよ、問題の解決が急がれる状況と言えます。