1

ブラウザのテキストボックスに文字を入力すると、登録されている情報をナビゲートしたり自動入力したりできる「Autofill(オートフィル)」機能は、煩わしい入力作業を大幅に省略できるので非常に便利です。しかし、オートフィル機能をONにしておくと、極めて単純な手法を使って簡単に住所や電話番号などの個人情報をぶっこ抜くフィッシング詐欺の餌食になってしまう危険性が指摘されています。

GitHub - anttiviljami/browser-autofill-phishing: A simple demo of phishing by abusing the browser autofill feature

https://github.com/anttiviljami/browser-autofill-phishing

オートフィル機能の危険性を指摘するViljami Kuosmanen氏は、GitHubにオートフィル機能を悪用したフィッシング詐欺のサンプルプログラムを公開しています。このサンプルプログラムを試せば、オートフィル機能がどれほど危険なのかが一発で理解できます。

サンプルプログラムを試すため、上記のGitHubページにある「Clone or download」をクリック。



「Download ZIP」をクリックして、ZIPファイルをデスクトップなど好きな場所に保存します。



ダウンロードしたZIPファイルを「Explzh」などで解凍して、フォルダ内にある「index.html」を実行して、ブラウザを開きます。なお、今回は既定のブラウザをGoogle Chromeに指定した状態でプログラムを開いています。



すると、個人情報をこっそり抜くフィッシング詐欺に見立てたページが表示されました。どうやらよくある「Name(名前)」と「Email(メールアドレス)」を入力して送信する登録ページのようです。



「Name」に「yama」まで入力すると、オートフィル機能で登録されている名前の情報がナビゲート表示されました。



案内された「yamada tarou」をクリックすると……



「Name」と「Email」に自動的に入力されました。さすがにオートフィル機能はとても便利です。



あとは「Submit」をクリックすれば、情報送信完了です。



しかし、Chromeデベロッパーツール(検証モード)を使ってフォームデータを確認すると、名前・メールアドレス以外に住所、所属などの登録情報まで送信しようとしていることが分かります。



このページの仕組みは非常にシンプルで、実は画面外に住所などの他の情報用に"見えない入力フォーム"が用意されており、そこにオートフィル機能を使って入力させているというもの。ユーザーからは名前・メールアドレス以外の他の情報が入力されているのを分からないようにしているだけという単純な手口です。



この極めて単純な手法を使えば個人情報をこっそり収集することが可能です。このようなフィッシング詐欺の被害を防ぐには、オートフィル機能をOFFにするしかなさそうです。なお、Chromeでオートフィル機能をOFFにするには「設定」→「パスワードとフォーム」にある、「ワンクリックでのウェブフォームの自動入力を有効にする」のチェックを外せばOKです。