今すぐ設定はオフに！Safariの「連絡先自動入力」で個人情報が抜き取られる手口が見つかる

ども！ともぞうです。

オンラインでの会員登録や買い物の際に毎回入力しなくて済むブラウザの自動入力機能は、すごく便利で使っている方も多いですよね。

ところが海外のWeb開発者によると、自動入力で「自分が入れていないハズの個人情報」まで抜き取られる手口が見つかったとのことで話題になっています。

公開されているデモサイトで試したところ、本当に入力していないデータが取得されてしまいました。記事を読んだ上で、今すぐ設定をオフにすることをオススメします！

Safariの連絡先自動入力で住所や電話番号が抜き取られる可能性

今回の問題を伝えているのは、フィンランド人のWebデベロッパーであるViljami Kuosmanen氏。

Twitterへの動画投稿で「自動入力でどんな風にデータが取得されるのか」を説明しています。

ただ、これだけを見てもいまいちどういうことか分からないと思うので、同氏が公開したデモページで実際にiPhoneでアクセスして試してみます。

デモページにアクセスすると名前とメールアドレスの入力欄があるのですが、設定で自動入力をオンしてあるとキーボードの上に「連絡先自動入力」が出現。

ポチッと押すと、どの連絡先データを使って自動入力するか聞かれるので、今回は「ともぞう-自宅」を選択。

すると連絡先に書かれている情報を元に記入欄が自動で埋まりました。最後に「SUBMITボタン」を押すと…

ずらずらっと、今の操作で取得されたデータの一覧が表示されました。

実際のサービスだったら目に見えない裏の処理ですが、デモページなので実際にどんなデータが取得されたか見られるようになっているという訳です。

さてどんなデータが取得されたか見ていくと、nameという部分には「¥u3068¥u3082¥u305e¥u3046」という謎の文字列が入っています。これはユニコードで表記されたもので、変換すると「ともぞう」になりました。

そして「email」には名前と一緒に入力していたメールアドレス「hoge@hogehoge.com」が。まぁここまではいいですよね。入力されているのを見ていた情報なので。

問題はここから。注目するのは、city・address・phone・postalの欄に入っているデータなんです。

postalは郵便番号、cityは都市名、addressは住所、phoneは電話番号ってことになりますが、入れた覚えはまったくないですよね？入力欄もなかったですし。

それがそれぞれ先ほどの名前同様にユニコードを変換しつつ見てみると…

• postal: 2310003
• city: 横浜市
• address: ほげほげ区ほげ町
• phone: 0000112222

「ん？これ、どこから取ったデータ？」って思うのですが、実は先ほど連絡先自動入力で選んだ「連絡先に登録されてた内容」なんです。

画像にもあるように、先ほどの取得されてたデータとバッチリ一致しちゃいましたよ。まじですか…。

もう一度最初の画面に戻ってみると、確かに名前とメアドしか入れていないハズなんですが、自動入力を使ってしまうと関連するデータも抜き取られてしまう可能性があるという訳なんです。

しかもこの問題、iPhoneのSafariだけでなくパソコン版のSafariやGoogle Chromeの同機能でも同じとのこと。

今のところ対策としてはこの機能を使わないという選択肢しかなく、iPhoneの場合は設定にあるsafariのページを開き、

自動入力の「連絡先の情報を使用」をオフにすればOKです。

今回は確認できませんでしたが、この問題を指摘したViljami Kuosmanen氏によれば、クレジットカードの情報も抜き取られる可能性あるとのこと。ついでにクレジットカードの自動入力もあわせてオフにしておくといいかもしれません。

パソコンのSafariは設定に自動入力の項目があるので、チェックを外しておきましょう。

Google Chromeは詳細設定の中に「自動入力設定の管理」という項目があるので、保存されているデータを削除すれば完了です。

今回改めて自動入力に関する問題について調べたところ、2009年にスイスのセキュリティ研究者が似たような脆弱性に関する指摘をしており、さらに2010年にはアメリカのセキュリティ会社が今回と同じ問題を指摘していました。

にも関わらず未だにこの問題が残っているのはなぜか気になりますが、現時点では自分の身は自分で守るしかありませんね。