ウェブブラウザは、消費者やビジネスなど、様々な用途でインターネットにアクセスするための最も一般的なポータルであることは間違いありません。革新的な進歩により、多くの従来の「シッククライアント」アプリがブラウザに置き換えられ、その使いやすさと普及率が向上しました。閲覧履歴の記録、認証情報の保存、Cookieの利用による訪問者のエンゲージメント向上といったユーザーフレンドリーな機能により、ブラウザは「ワンストップショッピング」体験へと進化しました。
しかし、ブラウザは、生活を楽にするためのまさにそのオプションを通じてユーザーを裏切る可能性も秘めています。なぜなら、ブラウザにはたくさんの秘密が隠されているため、機密データの盗難の格好の標的になるからです。
セキュリティインテリジェンス組織Exabeamは最近、Google、Facebook、Amazonなどの人気ウェブサイト数十件を分析し、これらのウェブサイトとのやり取り時にどのようなユーザーデータが保存されているかを調査しました。その結果、膨大な量のユーザー情報がローカルストレージとブラウザの両方に保存されていることが分かりました。
その結果、Exabeam は最近、ブラウザが悪用される可能性のあるいくつかの方法と、安全を保つための推奨テクニックを概説したブログ記事を公開しました。
以下に、調査結果の要約とその他の保護のヒントを示します。
1.ブラウザ履歴にアクセスする
ブラウザの履歴は、インターネット上であなたがどこに、何の目的でアクセスしたかを示す、まさに地図のような存在です。そして、あなたがどこにアクセスしたかだけでなく、いつアクセスしたかも把握できるため、あなたの行動パターンを解明することができます。
特定のサイトにアクセスしたことが知られると、フィッシング攻撃を受けてそのサイトの認証情報が取得される可能性があります (この情報をブラウザに保存していないと仮定)。また、購入習慣が特定される可能性もあります (たとえば、フットボール ファンで NFL サイトを訪問している場合、侵害されたクレジットカードにフットボール関連商品の請求が大量に表示されても、クレジットカード会社はそれほど驚くことはないでしょう)。さらに、問題のサイトが違法または非倫理的であることが判明したり、その疑いがかけられたりすると、脅迫される可能性もあります。
推奨事項:
ブラウザのキャッシュをクリアすることは、特にオンラインバンキングなどの機密性の高い操作を行った後に、潜在的に有害な情報を消去する良い方法です。手動で実行することも、ブラウザを閉じる際に自動的に実行されるように設定することもできます(この手順やその他の推奨事項については、ブラウザのバージョンとOSの詳細をGoogleで検索してください。手順は変更される可能性があります)。
収集可能なデータは保存されないため、シークレット モード (プライベート ブラウジング) を使用します (パブリック システムを使用する必要がある場合は、必ずシークレット モードで使用してください)。
参照:インターネットから姿を消す9つの方法(無料PDF)(TechRepublic)
2.保存されたログイン資格情報の収集
保存されたログイン情報と、アクセスした関連サイトのブックマークを組み合わせると、非常に危険な状況になります。犯罪者があなたの銀行やクレジットカードのウェブサイトにアクセスするには、マウスを2回クリックするだけで十分かもしれません。一部のサイトでは、アクセスコードを携帯電話にテキストメッセージで送信するなど、2要素認証を採用していますが、多くのサイトでは、接続元のシステムで本人確認を行うために、この認証を1回限りで利用しています。残念ながら、そのシステムは信頼できると判断され、その後のアクセスでは全く不正アクセスされない可能性があります。
このようなシナリオでは、メールアカウントに関連付けられた保存済みの認証情報は、スーパーマンにとってのクリプトナイトのようなものです。あなたのメールに侵入できる攻撃者は、あなたがアクセスするほぼすべてのウェブサイトでパスワードをリセットできます。そして、攻撃者は必ずしもあなたのシステムにログインしている必要はないかもしれないということを覚えておいてください。あなたのメールアドレスとパスワードを入手できれば、他のどのシステムからでも自由に操作できるのです。
スクリーンショットを連続して撮るだけで(あるいは携帯電話のカメラを使うだけでも)、システム上の攻撃者が保存されているすべてのパスワードを記録できてしまう可能性があります。Firefoxでは、これらのパスワードを非常に簡単に閲覧できます。Chromeでは少なくともログインパスワードの入力を求められますが、前述の通り、管理者権限があればパスワードをリセットするのは非常に簡単です(Offline NT PasswordやRegistry Editorなどのパスワードリセットユーティリティを使えば簡単に取得できます)。
推奨事項:
ブラウザに認証情報を保存しないでください。代わりに、KeePassやPassword Safeなどの無料のパスワードマネージャーを活用して、マスターパスワードにパスワードを保存しましょう(決して書き留めないでください)。これらのパスワードマネージャーは、すべてのウェブサイトのパスワードを安全に保存できます。パスワードマネージャーは、保存したURLにアクセスして自動的にログインすることもできるため、利便性とセキュリティが向上します。
3.自動入力情報の取得
自動入力情報も危険な場合があります。Chromeはオンラインショッピングを容易にするために自宅の住所情報を保存できますが、もしデバイスが悪意のある人物の手に渡ったらどうなるでしょうか?攻撃者はあなたの住所だけでなく、おそらくあなたが自宅にいるかどうかも知ってしまうでしょう。
推奨事項:
機密情報や個人情報の自動入力をオフにします。
参照: パスワード管理ポリシー (Tech Pro Research)
4.クッキーの分析
クッキー(ユーザーを識別したり、サイトへのリンクを付与したりするローカルに保存されるファイル)も、潜在的な攻撃経路の一つです。閲覧履歴と同様に、クッキーはユーザーのアクセス場所やアカウント名を明らかにする可能性があります。
1 番目と同様に、ここでもシークレット モードが役立ちます。
推奨事項:
クッキーを無効にすることは潜在的な解決策として宣伝されていますが、多くのサイトがクッキーに依存しているか、クッキーを無効にすると少なくとも機能が大幅に制限される(またはしつこいプロンプトで煩わされる)ため、これは長年にわたって問題のある「解決策」でした。
代わりに、定期的に Cookie を消去すると保護に役立ちますが、Web サイトの要求に応じて情報を繰り返し入力する準備をしておいてください。
5.ブラウザキャッシュを調べる
ブラウザキャッシュは、ウェブページの一部を保存するもので、次回のアクセスや読み込みを容易にします。これにより、ユーザーがどこにアクセスし、何を閲覧したかが分かります。マルウェアも同様に、キャッシュデータを狙うようにカスタマイズされる可能性があります。
Exabeam はまた、ブログ記事の中で、位置情報の履歴とデバイスの検出も危険な要素であるとし、これらによってユーザーの位置情報や使用されている他のデバイスが露出する可能性があると述べています。
推奨事項:
1 および 4 と同様に、ここでもシークレット モードが役立ちます。また、特に機密性の高い操作を行った後は、必要に応じてキャッシュを手動でクリアすることもできます。
その他の提案
ブラウザ データへのアクセスリスクを軽減するために、デバイスに複雑なパスワードを設定して定期的に変更し、特にポータブル システムではローカル ストレージ デバイスを常に暗号化することを強く推奨します。
ノートパソコンにはケーブルロックなどの物理的なセキュリティ対策を施し、使用していない時は必ずシステムの画面をロックしてください(自宅のWindows PCでも同様です)。マシンやパスワードを他の人と共有しないでください。
可能な場合は2要素認証を活用し、ウェブサイトアカウントには復旧用アカウントを設定し、パスワードリセット用の携帯電話番号とセキュリティ質問を指定してください。新規アカウントに関するメールや、リクエストしていないパスワードリセットに関するメールなど、不審なアクティビティには注意してください。
Facebook などの一部のサイトでは、現在誰があなたのアカウントにログインしているかがわかります ([設定]、[セキュリティ]、[ログイン] の順に移動)。そのため、これらの詳細を定期的に確認してください。特に何か異常なことが起きている場合は確認してください。
Exabeam では、定期的に更新されるマルウェア対策ソフトウェアと、いくつかのブラウザ関連のオプションを利用することも推奨しています (設定は変更される可能性があるため、これらを実行する方法の詳細については、ブラウザとオペレーティング システムのバージョンを Google で検索してください)。
ユーザーは、プライバシーをさらに保護するためにブラウザの設定を変更することを検討するか、少なくともブラウザの設定を分析して、現在有効/無効になっているオプションを把握する必要があります。Chrome、Firefox、Internet Explorer、Safari、Opera向けのガイドがオンラインで提供されています。
以下も参照:
- Firefox Quantumブラウザを簡単にリフレッシュする方法(TechRepublic)
- Operaは、ビットコインマイニングのためにブラウザを乗っ取る攻撃者をブロックするようになりました(TechRepublic)
- about:config 設定をロックした状態で Firefox を展開する方法 (TechRepublic)
- Mozilla の Firefox 59 は、ウェブサイトによるスパイ行為を阻止できる (TechRepublic)
- ブラウザが新しいオペレーティング システムであるならば、それに見合うセキュリティが備わっていないのはなぜでしょうか? (ZDNet)
- セキュリティ強化のため、Chrome はまもなくすべての HTTP ページを「安全でない」とマークする予定です (ZDNet)
