ラック・セキュリティごった煮ブログ

セキュリティエンジニアがエンジニアの方に向けて、 セキュリティやIT技術に関する情報を発信していくアカウントです。

【お知らせ】2021年5月10日~リニューアルオープン!今後はこちらで新しい記事を公開します。

株式会社ラックのセキュリティエンジニアが、 エンジニアの方向けにセキュリティやIT技術に関する情報を発信するブログです。(編集:株式会社ラック・デジタルペンテスト部)
当ウェブサイトをご利用の際には、こちらの「サイトのご利用条件」をご確認ください。

デジタルペンテスト部提供サービス:ペネトレーションテスト

いつの間にか情報漏えいに繋がる!?ブラウザ拡張機能の話


※こちらの記事は2020年11月24日公開note版「ラック・セキュリティごった煮ブログ」と同じ内容です

初めましての人は初めまして!そうでない人はこんにちは!
どうも、お久しぶりです。セキュ松です。

古の同人誌の後書きにありがちな挨拶になってしまいましたが、
ひぐらしが13年ぶりにアニメやってるくらいですし許されませんか?
後一ヶ月で令和3年が始まるのもあんまり実感ないんですよね。
「あれ?今年もVR元年じゃないの?もう5年目?」
みたいな感じで。

さて、そんな過ぎゆく日々の中で、
旧ごった煮ブログやんごとなき吸収合併により消滅し、
ラック・セキュリティごった煮ブログとして新しく生まれ変わりました。
ブログが生まれ変わったということで心機一転、
続編を書こうとしていた過去のネタも綺麗さっぱり忘れていきましょう。

ブラウザの拡張機能って便利ですよね

さて、皆さんはネットサーフィンをするとき、
お気に入りの拡張機能はありますか?
中止ボタンがしいたけに見えて困る?
・1Password?
よくないね。

ユーモアあふれる拡張機能から実用的なもの、自作のものまで色々な拡張機能をお使いかと思います。
「そんな普段使ってる拡張機能が原因で、思わぬ情報漏えいに繋がるかもしれないですよ?」というお話です。

セキュアな拡張機能とは何か?

悪意を持った拡張機能とは知らずに導入してしまい、
個人情報の漏洩や不正送金に繋がってしまったという話も聞きますが、
一般的な拡張機能であっても、脆弱性を抱える危険性があります。

例えば、Google Chrome拡張機能作る際には、下記のページに書いてあるような項目に留意する必要があります。

developer.chrome.com

良くある便利な拡張機能なのに……

ここで、下図のようなGoogle Chrome拡張機能があります。

この拡張機能
利用者のブックマークを、ブックマークバーではなくサイドに表示してくれるようになる
という拡張機能です。

閲覧中のページのDOM内に
ブックマークのページタイトルやURLがそのまま埋め込まれています。
ハイ、ここが情報漏えいに繋がるかもしれないポイントです。

このようにcontent scriptを用いてWebページに追加された要素は、
Webページ越しにWeb
サーバが読み取ることが可能となります。

なので、機密データや閲覧履歴を拡張機能がDOMに追加しないように、
Googleは注意喚起しているわけですね。

Use Content Scripts Carefully
Assume any data sent to the content script might leak to the web page. Do not send sensitive data (e.g. secrets from the extension, data from other web origins, browsing history) to content scripts.

Webページ内に追加される要素が個人情報だったら……

先程の画像をよく見ていただくと、gmailのブックマークが存在し、
ページタイトルにメールアドレスが含まれているのが見えるかと思います。

この拡張機能によって表示されているブックマークのページタイトルに、
・個人名
・メールアドレス
・会社の重要なプロジェクトに関する情報
が含まれていたとしたらどうでしょうか?

また、巷にはパスワードを管理する拡張機能が山のようにありますが、
ログイン時にポップアップ形式で表示するのではなく、
直接ログインフォーム付近に埋め込んで表示する拡張機能も存在します。

こういった拡張機能を使っていると、
知らないうちに意図していない個人情報まで収集されているかもしれない
ですね。

使用している拡張機能を今一度、見直してみてはいかがでしょうか。
それでは!