広告主はあなたを追跡する新しい方法を見つけました。 Freedom to Tinker によると、現在、いくつかの広告ネットワークが追跡スクリプトを悪用して、パスワード マネージャーが Web サイトに自動入力する電子メール アドレスを取得しています。
しかし事態はさらに悪くなります。彼らが望めば、その技術を利用してあなたのパスワードも盗まれる可能性があるのです。これは、Chrome、Firefox、Edge などの組み込みパスワード マネージャーであっても、 LastPass などのブラウザ拡張機能であっても、パスワード マネージャーを使用しているすべてのユーザーに影響します。そのため、これを防ぐには自動入力機能を無効にする必要があるでしょう。
自動入力による情報漏洩の仕組み
ユーザー名とパスワードを Web サイトに保存すると、パスワード マネージャーがそれらを記憶します。その時点から、その Web サイトに表示されるユーザー名とパスワードのボックスにそれらを自動的に入力しようとします。これにより、「ログイン」をクリックするだけで済むため、サインインが速くなります。
しかし、一部のサードパーティの広告スクリプト (ほぼすべての Web サイトで使用されているもの) が、これらを使用してユーザーを追跡し始めています。これらはバックグラウンドで実行され、目に見えない偽のログイン ボックスとパスワード ボックスを作成し、パスワード マネージャーが入力した資格情報をキャプチャします。
このデモ ページ にアクセスすると、この問題を自分の目で確認できます。偽の電子メール アドレスとパスワードを入力すると、ブラウザのパスワード マネージャーに保存するように求められます。続行すると、バックグラウンドで自動入力され、スクリプトが電子メール アドレスとパスワードをキャプチャします。
このデモンストレーション サイトでは、LastPass を使用する場合、現時点では問題は発生していませんが、ユーザーの介入なしにユーザー名とパスワードを自動的に入力するもの (LastPass を含む) は理論的には脆弱です。
どこでも一意のパスワードが必要なため、パスワード マネージャーは依然として不可欠です
この問題は、すべての Web サイトで一意のパスワードを使用することの重要性を示しています。 Freedom to Tinker によると、これは単なる理論上の攻撃ではなく、現在、上位 100 万の Web サイトのうち 1110 の Web サイトで広告主によって実際に使用されています。広告主は現在、ユーザー名と電子メール アドレスを取得するためにこの手法を使用しているだけですが、いつか特に悪意のある気分になった場合に、パスワードも取得することを妨げるものはありません。
広告主が Web サイトであなたのパスワードをキャプチャした場合、そのデータを持っている人がその Web サイトにサインインする可能性のある最悪の行為は可能です。これは理想的ではありませんが、起こり得る最悪の事態ではありません。電子メール アカウントと同じパスワードをその Web サイトに使用すると、その人物があなたの電子メール アカウントにアクセスし、それを使用して他のアカウントにアクセスする可能性があります。それは起こり得る最悪の事態だ。
これが、何があっても パスワード マネージャーを使用することをお勧めする 理由です。平均的な人がオンラインでさまざまなアカウントを持っており、これらの Web サイトに対する攻撃の頻度を考えると、アクセスするすべてのサイトに一意のパスワードを使用することが不可欠です。これを行う最善の方法は、パスワード マネージャーを使用することです。赤ちゃんをお風呂のお湯と一緒に捨てないでください。
自動入力を無効にして自分自身を守る
ただし、パスワード マネージャーで自動入力を無効にすることで、これらのスクリプトによるリスクの一部を軽減できます。たとえば、LastPass (現時点ではこれらのスクリプトの影響を受けませんが、理論的には影響を受ける可能性があります) を使用している場合、自動入力機能によってログイン フィールドに資格情報が入力されるため、「ログイン」をクリックするだけで済みます。自動入力機能を無効にした場合は、パスワード フィールドの LastPass アイコンをクリックし、ユーザー名をクリックして保存された情報を入力する必要があります。これはサインインするときにのみ実行するため、これにより資格情報が盗み取られるのを防ぐことができます。もうすべてのページにスプレーする必要はありません。
選択したパスワード マネージャーからユーザー名とパスワードをコピーして貼り付けることもできます。そうすればさらに安全になりますが、利便性は大幅に低下します。私たちは、ログイン ページでのみ自動入力を手動で開始することを選択することが、セキュリティと利便性の間の適切な中間点であると考えています。これらのログイン ページがそのようなスクリプトによって侵害された場合、いずれにせよ、何も役に立ちません。たとえコピー アンド ペーストしたり手動で入力したとしても、スクリプトはログインの詳細を読み取ることができます。
残念ながら、ほとんどのブラウザのパスワード マネージャーでは自動入力を無効にすることはできません。たとえば、 使用している場合、自動入力機能を無効にする方法はありません。 Chrome には自動入力を無効にするオプションがありますが、無効になるのは住所や電話番号などのデータの自動入力のみであり、パスワードは無効になりません。 Mozilla Firefox のパスワード マネージャーにはパスワードの自動入力を無効にするオプションがありますが、それは about:config に隠されています。
Chrome または Edge の組み込みパスワード マネージャーを使用している場合は、 LastPass や 1Password など、より詳細な制御を提供するサードパーティのパスワード マネージャーに切り替えることをお勧めします。 1Password には自動自動入力機能 が含まれていない ため、この問題の影響を受けません。
LastPass では、ブラウザのツールバーにある LastPass 拡張機能ボタンをクリックし、[設定] をクリックすることで自動入力を無効にできます。 [全般] の [ログイン情報を自動的に入力する] オプションのチェックを外し、[保存] をクリックして変更を保存します。
Firefox のパスワード マネージャーを引き続き使用したい場合は、Firefox のアドレス バーに「about:config」と入力して Enter キーを押す必要があります。ここでさまざまな設定を変更すると問題が発生する可能性があることを通知する警告画面が表示されます。心配しないでください。ここで説明する 1 つの設定を変更するだけであれば、問題はありません。 「リスクを受け入れます!」をクリックします。続ける。
検索ボックスに「autofillForms」と入力し、「signon.autofillForms」設定をダブルクリックして「false」に設定します。 Firefox は、ユーザーの許可なしにユーザー名とパスワードを自動入力しなくなりました。
別のパスワード マネージャーを使用している場合は、その設定を開いて「自動入力」または「自動入力」オプションを無効にして、パスワード マネージャーが個人情報を漏洩しないようにする必要があります。
ブラウザとパスワード マネージャーの開発者は、パスワード マネージャーをより安全にするために再考する必要があります。特定の Web サイトでアクセスするすべての Web ページにログイン データを自動的に入力しようとするべきではありません。それはただトラブルを求めているだけです。ただし、現時点では、自動入力を無効にして安全性を高めることができます。
画像クレジット: vladwei /Shutterstock.com。
