ケビン・ボスティック
· 2分で読めます
Googleは、Chromeブラウザの欠陥により、ユーザーのコンピュータにアクセスできる人なら誰でもそのユーザーのパスワードをすべて見ることができるとして、セキュリティ評論家やハイテクメディアの観測者から批判を浴びている。
ユーザーのデバイスにアクセスでき、OSのアカウントパスワードを既に取得済みであれば、Chromeの設定パネルにアクセスするだけで、メール、ソーシャルメディア、その他のサイトに保存されているすべてのパスワードを直接閲覧できます。Chromeの構造におけるこの「欠陥」は、ソフトウェア開発者のエリオット・ケンバー氏によって指摘されました。彼はAppleのSafariブラウザからブックマークをインポートする際にこの欠陥を発見しました。
ケンバー氏は、Chromeの設定パネルに「保存済みパスワード」セクションがあることを発見しました。このセクションには、ユーザーが情報を保存したサイトのサイト名、ユーザー名、パスワードが表示されます。パスワードは最初は非表示になっていますが、サイトの行を選択するだけで、そのサイトのパスワードを表示するボタンを表示できます。Chromeでは、サイトのパスワードを表示するために追加のパスワード入力は必要ありません。
Mozilla の Firefox ブラウザも同様の動作をし、ユーザーに「パスワードを表示してもよろしいですか?」と尋ねるダイアログボックスを表示して、それ以上の確認を求めません。
AppleのSafariブラウザは、現在そのコンピュータにログインしているIDのパスワードを入力するよう求めるダイアログをポップアップ表示します。パスワードを入力しないと、Safariは他のIDを表示しません。
ケンバー氏は、この問題は Chrome のパスワード保存の欠陥、ひいてはブラウザのセキュリティ上の欠陥を表している、と述べている。
Google はパスワードのセキュリティについて明確に述べていません。GoogleがYouTube、映画館のプレロール、そして看板広告などで自社ブラウザを宣伝する世界では、明確なターゲットは開発者ではありません。それはマスマーケット、つまりユーザーです。圧倒的多数です。彼らはブラウザがこのように機能することを知りません。パスワードがこんなに簡単に見れるとは思っていません。毎日、何百万人もの普通のユーザーがChromeにパスワードを保存しています。これは許されません。
この論争に対し、Chrome ブラウザ セキュリティ チームの技術リーダーは、「OS ユーザー アカウント内の境界 (ユーザーがログインしているときでもパスワードを保護する) は信頼できず、ほとんどが見せかけに過ぎない」ことが判明したと述べた。
悪意のある人物があなたのアカウントにアクセスした場合を考えてみましょう。その悪意のある人物は、あなたのセッションCookieをすべてダンプしたり、履歴を盗んだり、悪意のある拡張機能をインストールしてすべてのブラウジングアクティビティを傍受したり、OSのユーザーアカウントレベルの監視ソフトウェアをインストールしたりする可能性があります。私が言いたいのは、悪意のある人物があなたのアカウントにアクセスした時点で、もうゲームオーバーだということです。なぜなら、目的を達成するための手段があまりにも多く、その手段があまりにも多く存在するからです。マスターパスワードやそれに類するものを、たとえそれが効果的だとは思っていなくても、なぜサポートしないのかと、何度も質問を受けてきました。私たちは何度も議論を重ねてきましたが、いつも行き着く結論は、ユーザーに誤った安心感を与え、危険な行動を助長したくないということです。OSユーザーアカウントへのアクセスを誰かに許可すると、その人はすべてにアクセスできるようになるということを、私たちは明確にしておきたいのです。なぜなら、事実上、その人が手にするのはまさにそれだからです。
この「脆弱性」を悪用するには、スヌーピングを行うユーザーが既に別のユーザーのアカウントにログインしている必要があります。Chromeチームはパスワードによるアクセス制限を認識しており、議論があるにもかかわらず、セキュリティのこの側面を調整する可能性は低いでしょう。
