【漏洩】ChromeとEdge、スペルチェック時にパスワードなどの入力データが外部送信される仕組みに注意

1 : 2022/09/22(木) 23:49:13.16 ID:JQ52QSwS9

Alibaba Cloudへのログイン中にパスワードが送信される様子
レス1番の画像サムネイル
Chromeで「拡張スペルチェック」を無効にする
レス1番の画像サムネイル
Microsoft Edgeにスペルチェック機能を提供する「Microsoft エディター」拡張
レス1番の画像サムネイル

 Chromeなど複数のブラウザーで、「拡張スペルチェック」機能を有効にしていると、パスワードなどの情報も外部に送信される仕組みであることが判明し、波紋を呼んでいる。

 これはChromeおよびEdgeにおいて、ブラウザー上で入力したテキストが外部のサーバーに送信されてスペルチェックが行われる「拡張スペルチェック」機能によるもの。セキュリティ企業のottoの報告によると、フォームに入力中の名前やメールアドレスなどの個人情報のほか、パスワードについても画面上で「パスワードを表示」オプションを有効にしていると送信されるというから恐ろしい。送信先は、ChromeであればGoogle、EdgeであればMicrosoftであるとはいえ、第三者のサーバーに送信されていることになる。拡張スペルチェック機能はデフォルトだと無効だが、有効化していないか、自身のブラウザーの設定を今のうちに確認しておこう。

2022年9月21日 12:00
https://internet.watch.impress.co.jp/docs/yajiuma/1441451.html

ottoの研究チームは9月16日(米国時間)、「Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords」において、Google ChromeやMicrosoft Edgeのスペルチェック機能を有効にしている場合に、パスワードや個人情報などの機密データが漏洩する可能性があるという問題を明らかにした。

同チームのレポートによると、Chromeにおいて「拡張スペルチェック」を有効にしている場合、および、EdgeにおいてMicrosoftエディターを利用している場合、Webサイトのログインページなどで「パスワードを表示する」のチェックを入れた際にGoogleやMicrosoftに入力済みのパスワードが送信されるリスクがあるという。

この問題はGoogleやMicrosoftが意図的に仕組んだものではなく、スペルチェックの精度を上げるためにクラウド上に入力テキストを送信していることが裏目に出た結果と言える。通常、パスワード入力フィールドに入力されたテキストは送信されることはない。しかし、多くのWebサイトがユーザビリティのために一時的にパスワードを表示する「パスワード表示」ボタンを提供している。このボタンをクリックしてパスワードを表示した瞬間に、入力テキストはスペルチェックの対象となってクラウドに送信されてしまう。

ottoでは、企業向けのサービスを提供しているサイトのうち、特に影響の大きいサービスとしてとしてMicrosoft 365、Allibaba Cloud、Google Cloud、AWS、LastPassを挙げている。ただし、レポートの公開時点でAWSとLastPassではすでに問題への対象が完了しており、リスクは取り除かれたとのことだ。

ottoではさらに50を超えるWebサイトをテストし、そのうちの30のWebサイトについてカテゴリ別に分類した上で、機密性の高いデータをGoogleやMicrosoftに送信しているかどうかを調査したという。その結果、1サイトを除く96.7%が機密データの送信を行っており、73%が「パスワードを表示」ボタンでパスワードの送信を行っていることが判明した。パスワードを送信していないWebサイトには単に「パスワードを表示」ボタンが用意されていないものも含まれているため、残りの27%が必ずしも安全だとは限らないとのことだ。

Webサイトの管理者がこの問題に対処する場合は、機密データを含む入力フィールドに対して「spellcheck=false」の属性を付加すればよい。ユーザー側で対処するには、スペルチェック機能を無効にする必要がある。Chromeの場合は、設定画面の「同期と Google サービス」のページを開き、「拡張スペルチェック」の項目を無効に設定すればよい。Edgeの場合、スペルチェック機能は「Microsoft エディター」という拡張機能として提供されているので、この拡張機能を無効にすることで対処できる。

2022/09/21 19:43
https://news.mynavi.jp/techplus/article/20220921-2459897/

3 : 2022/09/22(木) 23:50:14.64 ID:bUhT6Ppe0
>>1
Appleだけ無事という時点で…
4 : 2022/09/22(木) 23:50:27.48 ID:VxP0XMBj0
firefoxはセーフ?
40 : 2022/09/23(金) 00:33:38.37 ID:yP+lCdC30
>>4
マルウェアブラウザがなんだって?
5 : 2022/09/22(木) 23:50:35.32 ID:7JWgdfaG0
シメジと永徳をディスるの?
6 : 2022/09/22(木) 23:50:48.20 ID:YgIJlMuJ0
ブラウザのIDとパスワード記憶機能とか使ってるの?
9 : 2022/09/22(木) 23:52:05.57 ID:7JWgdfaG0
>>6
使ってるよ。当然二段階認証つけてワンタイムパスワードいれているけどな。
12 : 2022/09/22(木) 23:53:49.22 ID:GLezc56s0
>>6
むしろあれ無しでどうやってんのよ?記憶力チャンピオン?
15 : 2022/09/22(木) 23:55:34.45 ID:7rO60gFl0
>>12
記憶力チャンピオンに決まってる
もう大変だよボケてられない
16 : 2022/09/22(木) 23:57:43.01 ID:7JWgdfaG0
>>15
記憶力チャンピオン決定戦
凄いなぁ。二段階認証すれば徒労だと思うけど
サステイナブルではないと思う。
7 : 2022/09/22(木) 23:51:25.75 ID:Vq+M1REG0
うわー怖い
仕事用はHUAWEIかアップルしかないな
10 : 2022/09/22(木) 23:52:08.98 ID:7Wcjgb3m0
あらまぁ、たれながしか
11 : 2022/09/22(木) 23:53:34.19 ID:Ys2Oz9c30
オフになってた
オンにすることはないだろう
13 : 2022/09/22(木) 23:54:49.89 ID:7rO60gFl0
だと思った
全く信用してない
14 : 2022/09/22(木) 23:54:53.25 ID:7JWgdfaG0
アンチテーゼとして投下しておくと
「うぇ?えっ?ぅっはぁー。まだ二段階認証つけてないの?」
「いやいや、まさかぁーありえないんだけど?ネタだろ?面白くない」
レベルの反応
17 : 2022/09/22(木) 23:58:05.10 ID:MTyD72HC0
ファーウェイに騒いでた奴はこれどーすんのw
37 : 2022/09/23(金) 00:32:22.35 ID:KPynvxO80
>>17
故意かどうかの違い
18 : 2022/09/22(木) 23:58:08.94 ID:fkq9qbk30
パスワードでスペルチェックの意味が分からない・・・
文字入力が共通化されているだけなんだろうけど
19 : 2022/09/23(金) 00:02:00.18 ID:N8G10ibe0
利用者が入力したキーストロークをクラウドに送信してスペルチェックしているからだろjk
画面でマスクしてみえなーい!とやっていてもスペルチェックするためにクラウドに垂れ流してパスワードをシェアしている。
20 : 2022/09/23(金) 00:04:16.34 ID:IRilQ/eN0
PC版のChromeだけ?
Android版のChromeにスペルチェック機能なんてないだろ
35 : 2022/09/23(金) 00:30:02.06 ID:Xh2KWQMU0
>>20
スマホにはないね。変換エンジンのネット検索あたりかな。ATOKの学習能力に呆れてオムロンのS-Shoinにしてるけど。Simegiが一番能力高くて使いやすいけど送信リスクはなくならない。
22 : 2022/09/23(金) 00:06:06.61 ID:nGJNVSwk0
googleはもとからずっとやってた
MSはgoogleがやるなら俺もやろうという感じ
23 : 2022/09/23(金) 00:09:34.97 ID:w1LRnOpD0
>>22
Chromiumベースのブラウザってことでしょ?
24 : 2022/09/23(金) 00:09:50.37 ID:IRilQ/eN0
寧ろ俺はグーグルのサーバーにパスワード保存して自動入力してるわ
25 : 2022/09/23(金) 00:09:58.91 ID:VY1IPloG0
そもそもブラウザ自体に仕込まれてたら
回避しようがないんだよこんなの
27 : 2022/09/23(金) 00:15:26.39 ID:FDEpxLAW0
ネットバンキングなんか使えねえじゃねえかよ
どうすんだマイ黒ソフト
きたねえ会社
28 : 2022/09/23(金) 00:16:58.35 ID:6G5MU5pc0
せやろか?
29 : 2022/09/23(金) 00:18:22.80 ID:IRilQ/eN0
俺はGoogleのパスワードマネージャー利用しまくりだぞ
30 : 2022/09/23(金) 00:19:05.92 ID:gsx+LhfR0
性能強化のためIME変換ミスの報告に協力しますか?
はい
→キーロガーが入力内容を常時平文で垂れ流して送信

みたいなの過去にあったよな
あれで「二度と協力しねえ」ってなったんだが

31 : 2022/09/23(金) 00:20:16.53 ID:XS4ywA770
ネットに繋げるソフトがブラウザなんだから、打ち込めばインターネッツに流出するのは当たり前
32 : 2022/09/23(金) 00:26:00.03 ID:xVLtt+ni0
注意じゃねーよ
情報漏れたら社長が首吊るくらいの覚悟で作れや
33 : 2022/09/23(金) 00:27:02.00 ID:/jmRUhCp0
officeとかでもそうだがスペルチェックとか要らんだろ
真っ先に無効化するわ
34 : 2022/09/23(金) 00:27:05.60 ID:Y7rsc+N40
オフだった
36 : 2022/09/23(金) 00:30:34.20 ID:NqazuYk60
やっぱff最強なんだよね
38 : 2022/09/23(金) 00:32:54.65 ID:/JcRauj50
なに拡張スペルチェックって
39 : 2022/09/23(金) 00:33:16.80 ID:yIIUUhAX0
パスワードはdoragonと…スペル間違えてるよ!
こういうこと?
41 : 2022/09/23(金) 00:40:17.22 ID:yjxolYwi0
パスワードはpasswardだから

コメント

タイトルとURLをコピーしました