クレジットカード番号のような機密性の高い個人データには細心の注意を払っていますよね? この種の情報をWebフォームに入力する前に、アドレスバーでセキュリティで保護された接続を示す南京錠を常に確認してください。 ただし、ブラウザにGoogle Chromeを使用している場合、すべての予防措置は無用です。 Identity Finderの機密データスペシャリストは、Chromeがそのデータのローカルコピーをセキュリティで保護されていないデータベースに保存していると報告しています。
初めてじゃない
ユーザーのプライバシーを保護できなかったことでChromeが攻撃を受けたのはこれが初めてではありません。 数か月前のNSS Labsによる調査では、Internet Explorer、Firefox、Chrome、およびSafariの最新バージョンを評価しました。 彼らは、サードパーティのCookieやジオロケーションなど、さまざまなプライバシー関連の問題を処理するために、各ブラウザのデフォルト設定をチェックしました。 ここではInternet Explorerが明確な勝者となりましたが、Chromeのプライバシー保護は最も貧弱でした。
リスクは何ですか?
Identity Finderの研究者は、会社の詳細な機密データマネージャーを使用して、複数の従業員に属するコンピューターをスキャンしました。 このスキャンにより、ChromeのSQLiteデータベースとプロトコルバッファーで、「名前、メールアドレス、住所、電話番号、銀行口座番号、社会保障番号、クレジットカード番号」などの個人情報が大量に見つかりました。 このデータは、Chromeをプライマリブラウザーとして使用したすべての従業員に公開されました。
コンピューターに物理的にアクセスできるユーザー、またはローカルネットワーク経由でアクセスできるユーザーは、この機密の個人データをすべて簡単に読み取ることができます。 また、データを盗むトロイの木馬によってふるいにかけられ、家に電話される可能性もあります。 これが本当の危険であることを再確認するために、研究者は概念実証のエクスプロイトを作成しました。 レポートによると、「攻撃者はユーザーがフォームやシステム認証情報に何も入力する必要なく、膨大な量の個人情報を取得できます。」 さらに、ハードドライブを完全に上書きおよび消去せずに古いコンピューターを販売する場合、購入者はこの保存された情報のすべてに簡単にアクセスできます。
レポートでは、これらのリスクはChrome 2.0以降に発生しており、他のブラウザでも同様の脆弱性を共有している可能性があると指摘しています。 Googleは調査結果を通知されましたが、まだ応答していません。
何ができる?
当然のことながら、このレポートはすべてのブラウザメーカーがセキュリティを強化し、保護されていないデータベースに機密データを保存することを絶対に控えるよう奨励しています。 その間、問題を自分の手で取ることができます。 機密の個人データを含むトランザクションを完了するたびに、最近の閲覧履歴を削除してください。 Internet Explorer、Firefox、またはChromeでCtrl + Shift + Delを押すと、指定した期間中に指定したデータを消去できるウィンドウが表示されます。 必要に応じて、最後の1時間だけを消去することも、「時間の初めから」閲覧履歴を消去することもできます。
現在、Chromeをプライマリブラウザとして使用している場合は、以下のインフォグラフィックを確認してください(クリックすると大きな画像が表示されます)。 多分それはスイッチバックする時ですか?