スペルチェック機能でパスワードを外部送信

ほぼこもセキュリティニュース By Terilogy Worx

スペルチェック機構は使っていますか?
オフィス系のアプリケーションでもその他のアプリケーションでも、スペルチェック機構はありがたいものです。
typoを減らすことにとても有効です。

しかし、便利だなというだけでは見過ごせないものがあったことがわかりました。

よくあるスペルチェック機構はそのアプリケーションの中の機構としてローカルで完結して機能します。
しかし中にはローカルのみでのスペルチェックを実施せず、外部に送信してスペルチェックするものがあります。

今回確認されているのは、Google ChromeとMicrosoft Edgeです。
これらのWebブラウザは、どちらもスペルチェック機構を搭載しています。
それぞれ次のように動作します。

  • Google Chrome
    スペルチェック機構をブラウザ自体に搭載しています。
    標準で有効に設定されていて、動作モードは「基本スペルチェック」と「拡張スペルチェック」の2つがあります。
    このうちの基本スペルチェックが標準設定の動作モードになっています。
    拡張スペルチェックのところには「Google 検索と同じスペルチェックを使用します。ブラウザに入力したテキストは Googleに送信されます。」と説明されています。
  • Microsoft Edge
    標準でスペルチェック機構を有していますが、内容的に限定的なものになっています。
    EdgeはChromeと多くの部分でコードベースが共通するものになっていますので、Chromeの基本スペルチェックに相当するものなのかもしれません。
    そしてより優れたスペルチェックを実施したい場合には、「Microsoft Editor Spelling & Grammar Checker」というブラウザアドオンをインストールして使用することができます。
    これによりブラウザのフォームに入力された内容はMicrosoftに送信されます。

もちろんこれは必ず送信されてしまうということではありません。
WebブラウザがWebサイトを表示するときには、そのWebサイトが提供するHTMLに従って描画しますし動作します。
たとえばパスワードなどの個人情報を入力する部分を持つWebコンテンツの場合に、そのフォームデータの中に「spellcheck=”false”」などのコードを含めておけば、個人情報は外部に送信されないで済んだりします。
アプリケーションの開発者、Webサイトの管理者、ユーザ、それぞれの立場でできることがありそうです。

思いもよらないことが起こることは、あると思います。
しかし新しいニュースをよく確認して対応していくことで、問題を軽減することができる場合も少なからずありそうです。
そういった活動が継続できるとよいですね。

参考記事(外部リンク):Chrome & Edge Enhanced Spellcheck Features Expose PII, Even
Your Passwords

www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-your-passwords

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。