Google Chromeに「はい、チーズ」!?

Google Chromeに見つかったぜい弱性。コンピューターの前のあなたは盗撮されてしまうかもしれません。うっかり術中にはまらないよう、設定の見直すを。

chromeにチーズ-featured

人気のブラウザーで今回見つかったぜい弱性のために、無防備なユーザーは盗撮されてしまうかもしれません。

先日、また新たなハッカーの創作力が証明されました。それを伝えたレポートは、現在最も人気のブラウザーGoogle ChromeでWebを閲覧しているユーザーの写真を撮影するという単純なトリックに関する内容です。

このChromeのぜい弱性が現実の攻撃に使われたことは、まだ確認されていません。しかし、このトリックのシンプルさと効率性は、最近プライベート情報がとめどなく流出していることについて改めて考えさせられます。

ご存知の方もいると思いますが、Adobe FlashはマイクとWebカメラを使ってユーザーとやりとりすることができます。それには事前にユーザーの許可を得なければなりませんが、Chromeでは一部の画像をこのセキュリティダイアログに挟むことで、事実上それを隠してしまう恐れがあることが判明したのです。それでも、ユーザーが「許可」ボタンをクリックしないことには、やりとりが発生しません。そのため、覆いとなっている画像には人のアクションを引き出す仕掛けが必要です。下のスクリーンショットでは、「再生」ボタンがそれに当たります。

マウスでクリックすれば、ユーザーの写真が撮影されてハッカーのサーバーにアップロードされます。多くのノートPCではWebカメラが起動すると特別なライトが光りますが、それに気づいたとしても手遅れです。影響を受けるプラットフォームは、Windows 7、8、Mac OS X、一部のLinuxディストリビューションです。

chrome-cheese

ユーザーを盗撮した写真といっても、あまり価値あるものには思えませんが、サイバー犯罪者にとってはID盗用などの使い道があります。さらに、マイクも同じような方法で起動できますが、マイクの起動時には特に目立った変化がないため、ハッカーはユーザーの個々の会話を簡単に録音できてしまいます。

このChromeのぜい弱性が現実の攻撃に使われたことは、まだ確認されていません。しかし、このトリックのシンプルさと効率性は、最近プライベート情報がとめどなく流出していることについて改めて考えさせられます。ユーザーは、自分の情報を誰が、いつ、どの程度収集しているのか、その情報が後でどのように使われるのかを予測することさえできません。この問題が最も大きな脅威となるのはスマートフォンアプリですが、「無害な」Webブラウザーが流出させているのはユーザーのWeb閲覧履歴だけではありません。無関係なサイトが、ユーザーの正確な現在地にカメラとマイクからアクセスできるのです。Web閲覧を完全に非公開にするのは困難ですが、位置情報とカメラに対処するのは簡単です。こうした機能はあまり使わないので、Google Chromeの「詳細」設定で無効にすることができます。このようなツールを要求するサイトに出会ったら(1か月に一度、1年に一度くらいのものでしょうが)、10秒ほどで一時的に位置情報とカメラが有効になり、少ししてオフになります。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?