Chrome保存済みパスワードの流出方法 - PCアカウントのパスワードがわかっている場合
Chromeのパスワードハッキングシリーズ第2弾です。
Chromeブラウザのパスワード自動入力機能は非常に便利ですが、
驚くほど簡単に漏洩する可能性があります。
PCアカウントのパスワードを知っている場合、Chromeのパスワード全体を共有しているのと同じです。
この攻撃は遠隔攻撃ではなく、身近な人物によるローカル攻撃(Local Attack)に該当します。
Chromeパスワード自動入力の脆弱性
Chromeブラウザのパスワード自動入力機能は、ログインの手間を大幅に減らす便利な機能です。
しかし、その仕組みを詳しく見ると、セキュリティ面で重大な脆弱性が存在します。
本記事では、PCアカウントのパスワードを知っている場合、
保存されたパスワードがどれほど容易に確認でき、
どれほど短時間で外部へ流出させられるかを説明します。
Chromeの自動入力機能がどれほど危険になり得るかを理解するため、
まずは基本的な操作方法から順に確認していきます。
PCアカウントパスワードの重要性
Chromeは保存されたパスワードを保護するため、平文表示時にWindowsアカウントのパスワード入力を要求します。
一見すると追加認証があるように見えますが、実際にはPCアカウントパスワードに全てを依存しています。
つまり、PCアカウントパスワードを知っている人物であれば、
ハッキングツールなしでChromeに保存された全パスワードを平文で確認できます。
家庭で家族間のパスワード共有がある場合や、
職場で自分のPCパスワードを他人に教えることがある環境では、
Chromeに保存されたパスワードがすべて漏洩する可能性があると考えるべきです。
方法 1: 個別のパスワードを確認する
Chromeに保存されたパスワードを平文で確認する手順です。
非常に簡単で、誰でも実行できます。
- 右上の**点3つ(その他アイコン)**をクリックします。
- メニューから
設定を選択します。 - 左メニューの
自動入力とパスワードまたは自動入力をクリックします。 Googleパスワードマネージャーまたはパスワードを開きます。- 確認したいサイトを選びます。
- 詳細画面でユーザー名とパスワード項目が表示されます。
- パスワード右側の目のアイコンをクリックします。
- PCアカウントのパスワード入力画面が表示されます。
- パスワードを入力すると、
これまで隠れていたパスワードが 平文で表示されます。
方法 2: すべてのパスワードを一括エクスポートする
Chromeには、保存済みパスワードを CSVファイルとしてエクスポート する機能があります。
これにより数十~数百のパスワードを数秒で流出させることが可能です。
ファイルをUSBにコピーしたり、オンラインで送信してしまえば、
別の場所でゆっくり全パスワードを確認できます。
そのため、PCアカウントパスワードを知っている人物がいれば、いつでも流出し得ます。
手順は以下のとおりです。
設定→自動入力とパスワード→Googleパスワードマネージャー- 右上の歯車アイコンをクリック
パスワードのエクスポートを選択- 警告メッセージが表示されたら続行
- 再度 PCアカウントパスワード を入力
passwords.csvがダウンロードされる
このCSVにはアドレス・ID・パスワードが すべて平文で保存 されています。
USBやメールで簡単に外部へ持ち出すことが可能です。
Chrome便利機能の限界
Chromeのパスワード確認は高度なツールを必要とせず、
標準機能のみで誰でも全パスワードを表示できます。
そのため「これがハッキング인가?」と思う人もいるかもしれませんが、
実際には情報漏洩の多くが最も身近な人物から発生します。
PCアカウントのパスワードを知っている人物がいれば、
Chromeに保存されたアカウント情報は一度に流出し得ます。
これは実質的にアカウント乗っ取りと変わりません。
家庭でのパスワード共有や物理的アクセスが容易な職場では、
Chromeの保存機能は実質的に保護として機能しません。
利便性は高いものの、
セキュリ티面では十分な防御を提供していない点を理解する必要があります。
次の記事では、PCアカウントのパスワードを知らない場合でも、
特定の条件が整うとパスワードが漏洩し得る方法について解説します。
シリーズ一覧: