Google ChromeとMicrosoft Edgeで機密性の高い情報が拡張スペルチェック機能経由で外部サーバーに送信されている
![](https://image.news.livedoor.com/newsimage/stf/c/0/c0445_88_f015cfd4af34acec85beca7fa1843d28.jpg)
Google ChromeやMicrosoft Edgeには、ユーザーの入力した単語が正しいスペルかどうかをサーバーのデータを用いてチェックする「拡張スペルチェック」機能があります。この「拡張スペルチェック」を利用したとき、基本的に入力フィールド内のすべての情報が外部サーバーに送信されていることがサイバーセキュリティ企業のottoにより指摘されています。「パスワードの表示」を行った場合は、パスワードすらも送信されるとのことです。
https://www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-your-passwords
Microsoft Edge and Google Chrome enhanced spellcheck feature exposes passwords - Neowin
https://www.neowin.net/news/microsoft-edge-and-google-chrome-enhanced-spellcheck-feature-exposes-passwords/
具体的に、どのように情報が漏れるのか簡潔に示した動画が公開されています。
Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords - YouTube
スプレッドシートで作業している途中、テキストの一部を拡張スペルチェックで確認。
![](https://image.news.livedoor.com/newsimage/stf/7/1/7165a_88_1c0e6e331b47a731db18c95f38b0851f.png)
その際、拡張スペルチェックはGoogle検索と同じスペルチェックで、入力したテキストがGoogleに送信される旨の注意が表示されます。
![](https://image.news.livedoor.com/newsimage/stf/3/8/38431_88_e5d9351de233066f9ca598cc2b025222.png)
同じブラウザで、引き続きAWSの機密情報を入力。IDとパスワードは本来、誰にも知られてはいけない情報です。
![](https://image.news.livedoor.com/newsimage/stf/2/c/2cdea_88_90951e43e2252d93a4adfa8afabbe949.png)
しかしログを確認すると、Googleのスペルチェックを行うサーバーに入力したIDが送られています。
![](https://image.news.livedoor.com/newsimage/stf/5/f/5f3d9_88_d2109f7d0fbc0f909bbab9c2f1f81802.png)
もちろん、パスワードも同様でした。
![](https://image.news.livedoor.com/newsimage/stf/b/8/b85af_88_750084585c0d06cdd8522379a3e6e03c.png)
こうした形で情報を取得する手法は「スペルジャッキング」と呼ばれ、セキュリティ上、大いに問題があります。
ottoの共同創業者で最高技術責任者のジョシュ・サミット氏によると、これは社内のスクリプト動作確認を行っていて見つかったものだとのことで、「さまざまなブラウザでデータのリークを確認しているとき、有効にすると機密データをサードパーティーに不必要に公開してしまう機能の組み合わせが見つかりました。問題は、これらの機能を簡単に有効にできること、そしてほとんどのユーザーがバックグラウンドで何が起きているか実際に認識することなく機能を有効にすることです」と述べています。
ottoのエンジニアリング担当バイスプレジデントであるウォルター・ホーン氏は「(パスワード流出について)興味深いのは、2つの機能の意図しない相互作用で引き起こされるという点です。どちらも独立した機能で、ユーザーにとっては有益です。ChromeとEdgeの拡張スペルチェックは、デフォルトの辞書を大幅にグレードアップします。同様に、パスワードを平文で表示するオプションを提供するサービスは、障害を持つユーザーにとってはより使いやすいものです。しかし、これらを一緒に使用すると、パスワードが漏れてしまうのです」と述べました。
ottoの調査では、Office 365、Alibaba Cloud Service、Google Cloud Secret Managerで情報が送信されることを確認済み。また、AWS Sevret ManagerとLast Passはすでに問題に対応済みだとのこと。
このほか、ottoは個人を特定可能な機密性の高い情報(PII)にアクセスする機会のあるウェブサイトを「オンラインバンキング」「クラウドオフィスツール」「健康管理」「政府関連」「ソーシャルメディア」「eコマース」の6つに分類し、各分類のトップ5サイトでテストを実施。すると、96.7%のサイトが拡張スペルチェック利用時にPIIをGoogleとMicrosoftのサーバーに送信してしまうことが明らかになっています。
また、「パスワードを表示」を用いた場合、73%のサイトがパスワードを送信していました。なお、残り27%のサイトは対応ができていたわけではなく、「パスワードを表示」のオプションがなかっただけだとのこと。
ユーザー側からただちにできる対応としては「ChromeとEdgeで拡張スペルチェックを使わないこと」です。いずれのブラウザでも拡張スペルチェックは初期設定のままだと無効になっていますが、一度有効にすると自動的に無効化されることはありません。
Google Chromeの場合、右上のメニューアイコンをクリックして「設定」を選び、「言語」タブに移動。
![](https://image.news.livedoor.com/newsimage/stf/d/e/de120_88_1b99b5cecce3b22ac166b7da2710c525.png)
スペルチェックを利用している場合、「基本スペルチェック」にチェックが入っていれば大丈夫です。
![](https://image.news.livedoor.com/newsimage/stf/1/1/11237_88_c481ac4276ca3e33e9d2bbb5fe65cb77.png)
Microsoft Edgeの場合も同様に、右上のメニューアイコンをクリックして「設定」を選び、「言語」タブに移動。
![](https://image.news.livedoor.com/newsimage/stf/c/a/caa1b_88_fabbe57b75843c1d33f8bb12359326af.png)
「文書作成支援を使用する」の項目で「Microsoft エディター」ではなく「基本」を選べばOK。そもそも「文書作成支援を使用する」自体を無効化するのもアリです。
![](https://image.news.livedoor.com/newsimage/stf/a/f/afae6_88_f53f41ab1e48a2c479401a495ef6413e.png)
ottoによれば、送信されたデータが既知の機密データと同等のセキュリティで管理されているのか、あるいはモデルを改良するためのメタデータとして管理されているのか等はまったく不明だとのことです。