英国のソフトウエア開発者Elliott Kember氏が「(Chromeブラウザに保存したパスワードは)セキュリティで保護されておらず、パスワードが見えることも示されていない」と指摘。あまりにも簡単過ぎる方法で誰でも重要な情報を盗み取れ、しかもこれまで見過ごされていたことがネット上で大きな話題になっている。

Webブラウザにパスワードを記憶させることで、Webサイトへのログインが簡単になり、また同期機能で複数のデバイスで簡単にパスワードを共有できる。中には、個人情報を含むソーシャルネットワーキングサイトや、クレジットカードを登録してあるショッピングサイトのパスワードを登録しているユーザーもいるため、ブラウザ内のパスワードデータは安全に保管されているべきである。ところが、Chromeでは[設定]から[詳細設定を表示...]に進み、[パスワードとフォーム]で[保存したパスワードを管理]を開いて、隠されているパスワードをクリックすると[表示]というボタンが現れる。それをクリックするだけでパスワードが表示される。またアドレスバーに「chrome://settings/passwords」と入力すると、パスワード設定が直接開き、わずか2クリックでパスワードを表示できる。

Kember氏は他のブラウザには言及していないが、保存したパスワードを盗み見られる危険性はFirefoxにもある。設定の[セキュリティ]から保存したパスワードに進み、パスワードを表示させるとパスワードがテキスト表示される。ただし、Firefoxの場合は保存したパスワードにアクセスするためのマスターパスワードを設定できる。これを利用することでパスワードが盗み見られる可能性が低くなる。

Internet Explorerはレジストリでパスワードを管理し、ユーザーは記憶したパスワードを消去できるが、表示することはできない。Safariはパスワードをキーチェーンで管理し、表示にはシステムパスワードまたはキーチェーンパスワードが必要になる。

PC MagazineのSecurityWatchは対策としてWebブラウザ頼みのパスワード管理から脱するべきとしており、以下のようなステップを紹介している。

1. パスワードマネージャーを導入

2. ブラウザに保存していたパスワードをパスワードマネージャーにインポート

3. ブラウザに保存したパスワードを削除

4. ブラウザのパスワード保存機能を無効化

(Yoichi Yamashita)