知って得するセキュリティのはなし その178
Chrome「拡張スペルチェック」、Edge「Microsoftエディター」で入力した機密情報が外部に送信される恐れ…無効化で回避呼び掛け
1.このニュースをザックリ言うと
- 9月16日(現地時間)、セキュリティベンダーのottoより、Chromeブラウザーの「拡張スペルチェック」機能およびEdgeブラウザーの「Microsoftエディター」機能において、機密情報を含む入力内容がGoogleやMicrosoftのサーバーに送信されるケースが確認されたとして注意喚起が出されています。
- 注意喚起では、Chromeにて別のサイト上で「拡張スペルチェック」を有効化した直後、クラウドサービスのシークレットマネージャーにアクセスして機密情報を入力した際、入力された内容がGoogleのスペルチェック用サーバーに送信される様子、またパスワード入力欄においても「パスワードを表示する」オプションを有効にした場合に同様に送信される様子が画像・動画で挙げられています。
- 回避策として、Chromeでは拡張スペルチェックを、EdgeではMicrosoftエディターを無効化するよう呼び掛けられています。
2.執筆者からの所感等
- 当初の注意喚起では、この問題がし得る主なWebサイトとして「Office 365」「Alibaba Cloud」「Google Cloud」「AWS」「LastPass」が挙げられていましたが、後日AWSとLastPassは対応が行われたとのことです。
- いずれのブラウザーにおいても、設定項目は「設定」→「言語」またはアドレスバーにabout://settings/languages の入力で表示され、Chromeの場合は「基本スペルチェック」を選択または「ウェブページにテキストを入力するときにスペルミスがないか選択する」を無効にする、Edgeの場合は「Microsoftエディター」の右にある「基本」を選択または「文書作成支援を使用する」を無効にすることにより、問題となる設定が無効になります。
- Chromeにおいて一時的に拡張スペルチェック機能を有効にしたいという場合、前述した画像のとおり「Google検索と同じスペルチェックが使用されます。ブラウザに入力したテキストはGoogleに送信されます。」といった警告が表示されるものの、一度有効化した後の無効化は手動で行う必要があることに注意が必要です。
- 今後Webサイト側で、問題となり得るページにおいて機能が無効化される設定(HTMLのspellcheck属性によりスペルチェックを無効化することが可能)が進むとともに、ブラウザー側でも当該機能の調整が行われることに期待したいところです。
