オートフィル機能のセキュリティホール

2023.05.08 岡山大

Google Chromeブラウザにはフォームに入力した情報を保存しておいて、あとで同じようなフォームが出てきた時にその情報を自動的に入力する、オートフィル機能があります。

このオートフィル機能を悪用して情報を窃取する方法について、セキュリティリサーチャーRicardo Martin Rodriguezが2013年に指摘しています。

そして2017年に入ってもそのセキュリティホールが直っていないことをまた別のリサーチャーViljami Kuosmanenが指摘しています。
http://www.forbes.com/sites/leemathews/2017/01/10/this-simple-phishing-attack-tricks-you-into-leaking-browser-autofill-data/

Chromeのオートフィル機能は、簡単な方法で悪用することが可能です。Chromeはオートフィルでフォーム入力を行う際に、ユーザーにどのような情報が入力されているか明示しません。
そのため、たとえばユーザーには氏名と住所を記入するフォームしか見えていなくとも、もしカード情報入力欄が隠れていれば、Chromeはそこにカード情報を入力してしまい、ユーザーはそのことを知ることがありません。
hiddenパラメータやdivタグをhiddenに設定した場合、そこにオートフィルをすることはありませんが、たとえばdiv style ="overflow:hidden;height:25px;"のようにして、問題でdivタグから溢れてしまった部分を非表示に設定して、ブラウザを騙すことはできます。
これにより、過去にカード番号やセキュリティコードを入力したことがあってオートフィルを使っていれば、これを窃取することが可能です。

FirefoxやSafariにもオートフィル機能はありますが、ユーザーに何の情報が入力されるかフィードバックする仕組みになっています。

下記のURLからデモ用ページにアクセスして実際にこの手法の効果のほどを体験することができます。
https://github.com/anttiviljami/browser-autofill-phishing

少々話はずれてしまいますが、たとえばカード業界のセキュリティ基準PCI-DSSでは、いわゆるオートコンプリート機能を明示的に使わないように指示しています。
入力をオートで補助する機能は便利ですが、メールであれば誤送信のもとになるなど、セキュリティと利便性は基本的に相反するものということが改めて納得できる話でした。

この記事の執筆・監修者

岡山大

三和コムテック株式会社
セキュリティソリューションプロダクトマネージャー OEMメーカーの海外営業として１０年間勤務の後、2001年三和コムテックに入社。
新規事業（WEBセキュリティビジネス）のきっかけとなる、自動脆弱性診断サービスを立ち上げ（2004年）から一環して、営業・企画面にて参画。 2009年に他の３社と中心になり、たち上げたJCDSC（日本カードセキュリティ協議会 / 会員企業422社）にて運営委員（現在,運営委員長）として活動。PCIDSSや非保持に関するソリューションやベンダー、また関連の審査やコンサル、などの情報に明るく、要件に応じて、弊社コンサルティングサービスにも参加。2021年4月より、業界誌（月刊消費者信用）にてコラム「セキュリティ考現学」を寄稿中。

→ 岡山大の他の記事を読む