マルウェアがオートコンプリートで記憶されたデータをブラウザーから盗む手口

2019年8月20日

ほとんどのブラウザーは、入力したデータを保存してくれます。アカウントの認証情報、オンラインショッピングで使うクレジットカードの情報、請求書送付先住所や名前、旅行サイトではパスポート番号などをブラウザーに記憶させておけば、同じフォームに同じことを何回も入力する手間が省けますし、パスワードを忘れる心配もありません。しかし、問題もあります。パスワードなどの情報を盗むタイプのマルウェアにコンピューターが感染したら、オートコンプリート機能が記憶しているこれらのデータは、すべてサイバー犯罪者の手に渡ってしまう可能性があります。

このような情報窃取型のマルウェアは、サイバー犯罪者の間で広まりつつあります。Kasperskyのセキュリティ製品では、このタイプのマルウェアによる攻撃を今年上半期だけでも94万件以上検知しており(英語記事)、前年同期比で3割程度の増加となっています。

厳密に言うと、情報窃取型マルウェアが興味を示すのは、ブラウザーのオートコンプリートで記憶されるデータだけではありません。暗号資産(仮想通貨)のウォレットやゲーム用のデータもそうですし、デスクトップにあるファイルも窃取します(皆さんがパスワード一覧のような貴重な情報をデスクトップに置いていないことを願います)。

しかし、ブラウザーは仕事と遊びのハブとなりつつあり、ショッピングや銀行取引などの窓口としても機能し、他のプログラムよりもはるかに機密性の高い情報が集まっています。では、そんなブラウザーから情報窃取型マルウェアがどのようにデータを盗み出すのか、その手口を見てみましょう。

オートコンプリートのデータは、どのようにブラウザーに保存されているか

ブラウザーの開発元は、利用者から託された情報の保護に努めています。情報を暗号化し、復号するのは情報を保存したのと同じデバイス上で同じアカウントからでないとできないようになっています。したがって、誰かがオートコンプリートで記憶されたデータの入ったファイルを盗んだとしても、ファイル内のデータはすべて暗号化されていますから、そのままでは使えません。

しかし、ここで「しかし」なのです。ブラウザーの開発元は、あなたのデバイスやアカウントがしっかり保護されているという前提に立っています。つまり、あなたのコンピューター上で、あなたのアカウントから実行されているプログラムは、あなたに代わって動作しているのだから、そうしたプログラムが保存済みのデータを抽出して復号できるのは当然である、と見なされるのです。したがって、デバイスに侵入し、あなたのアカウントを使って実行されているマルウェアも、残念ながら同様に扱われてしまいます。

保存済みデータを第三者から特別に保護する機能を持つブラウザーは、Firefoxだけです。Firefoxでは、マスターパスワードを作成し、データを復号してオートコンプリートを利用する必要があるときにはマスターパスワードの入力が要求されるように設定することができます。ただし、このオプションは既定では無効化されています。

マルウェアがChromeからデータを盗む手口

Google Chromeをはじめ、OperaやYandex.BrowserなどChromiumエンジンをベースにしたブラウザーの場合、利用者データの保存場所は常に同じです。このため、情報窃取型マルウェアは難なくデータを探し出すことができます。利用者データは暗号化された形で保存されてはいますが、マルウェアがすでにあなたのシステムに侵入している場合、マルウェアの動作はあなたの実行した動作と見なされます。

マルウェアは、ブラウザーのデータ暗号化ツールに対し、あなたのコンピューターに保管されている情報の復号をリクエストします。安全だと見なされている利用者から出されたリクエストに見えるため、暗号化ツールはあなたのパスワードやクレジットカード情報をマルウェアにすべて渡してしまいます。

マルウェアがFirefoxからデータを盗む手口

Firefoxの場合、動作は多少異なります。パスワードのデータベースなどを部外者から見られないようにするため、Firefoxは無作為に名前を付けたプロファイルを作成します。このため、情報窃取型マルウェアは、どこを探せばいいかを前もって判断できません。しかし、保存済みデータの入ったファイルの名前は変わらないので、マルウェアは全プロファイル(プロファイルの入ったフォルダーは1か所にまとめて保管されている)の中から目的のファイルを特定することが可能です。

この場合も、マルウェアは利用者であるあなたの代わりに動作していると見なされますから、Firefoxのブラウザーモジュールにファイルの復号をリクエストし、データを手に入れることができます。

マルウェアがInternet ExplorerやEdgeからデータを盗む手口

WindowsのネイティブプログラムであるInternet ExplorerとEdgeは、特別な場所にデータを保管します。正確な保管方法とストレージの種類はバージョンによって異なりますが、いずれの場合も信頼性には不十分な点が多々あります。ChromeやFirefoxの場合と同様、コンピューターに侵入したマルウェアはリクエストを出し、ストレージからパスワードとクレジットカード情報を簡単に手に入れることができます。

問題は、ブラウザーデータの復号を求めるマルウェアからのリクエストが、正当な利用者から送られたものに見えるため、ブラウザーには復号を拒否する理由がないということなのです。

マルウェアに盗まれたデータはどうなるのか

オートコンプリートデータを平文で手に入れたマルウェアは、このデータをサイバー犯罪者の元へ送ります。その後の展開としては、2つのシナリオが考えられます。サイバー犯罪者自身がこのデータを利用するか、闇市場でほかのサイバー犯罪者に売り渡すかですが、このような「商品」が常に価値あるものとして扱われる闇市場で売買される方が可能性として高そうです。

どちらの場合でも、データの中にユーザー名とパスワードが含まれていたならば、犯罪者はこのログイン情報の持ち主のアカウントをいくつか盗み、その人の友人たちから金銭をだまし取ろうとする可能性が高いと考えられます。ブラウザーに銀行のカード情報が保存されていた場合には、預金を使われたり、どこかに送金されたりするなど、より直接的な損害が生じる可能性があります。

盗まれたアカウントは、さまざまな目的に利用可能です。Webサイトやアプリを宣伝するスパムメールの送信やマルウェアのばらまきだけでなく、マネーロンダリングにも利用される可能性があります(万一警察沙汰になれば、アカウントの持ち主であるあなたが事情聴取を受けることも考えられます)。

情報窃取型マルウェアからデータを守るには

このように、万一マルウェアがコンピューターに侵入すれば、ブラウザーに保存されているデータは危険にさらされ、それと同時に自分の財産や評判も危うくなります。このような状況を回避するには、以下の点にご注意ください。

  • クレジットカードやキャッシュカードなどの重要な情報を、ブラウザーに保存しないでください。その代わり、毎回手動で入力するようにしましょう。時間はかかりますが、この方が安全です。パスワード管理ツールを使ってパスワードを保管するのも良いでしょう。
  • Firefoxを使用している場合は、マスターパスワードを活用して、ブラウザーに保管したデータを保護できます。設定するには、Firefoxの右上にある三本線をクリックし、[オプション]を選択します。次に、[プライバシーとセキュリティ]タブに進み、[ログインとパスワード]で[マスターパスワードを使用する]ボックスをオンにします。ダイアログボックスが表示されたら、マスターパスワードを指定しましょう。パスワードは長くて複雑であるほど、解読されにくくなります。
  • 一番重要なのは、そもそもマルウェアがコンピューターに侵入できないようにすることです。感染を寄せ付けない、信頼できるセキュリティ製品を利用しましょう。マルウェアが侵入しなければ、問題は起こりませんから。