FX取引高 世界第1位 GMOクリック証券 GMO

ニュースレタークイズの答え 2017年9月12日号

 

<問題>
ブラウザへのパスワード保存について、正しい記述を選んでください。

(A)Chromeのパスワード管理機能は、非常に強固なセキュリティーで過去漏えい事件は発生したことがない。

(B)Chromeのパスワード管理機能は、情報を暗号化して保存している為安全である。

(C)Chromeのパスワード管理機能は、定期的にパスワード変更を促される為セキュリティーが強化される。

(D)Chromeのパスワード管理機能は、情報を平文で保存している為に非常に危険である。

 

<答え>
(D)Chromeのパスワード管理機能は、情報を平文で保存している為に非常に危険である。


Chromeのパスワード管理機能では、「ID」「パスワード」をはじめとする情報は平文、つまり「暗号化されていない普通のテキスト」として保存されており非常に危険です。


不正アクセスによる情報漏えい事件も、過去何度となく発生しています。

詳しくは以下の記事もご参照ください。

 

 

危険!Chromeの機能でID・パスワードを保存していませんか?

 

Google製のインターネットブラウザ「Chrome」は、パソコンのブラウザとして、長らく最も利用されてきたInternet Explorerを抜いて、現在シェア1位になっています。

そのChromeには「パスワード管理」ならび「オートコンプリート」という機能があります。例えば、様々なクラウドサービスにログイン時する際のID・パスワードなどの情報を、Chromeが保存・管理してくれるという機能です。

一見大変便利な機能に思えますが、セキュリティ的には大変危険であることから、いますぐにでもこの機能をOFFにする必要があります。

 

平文で保存する危険性

AdobeStock_86369968.jpg

Chromeのパスワード管理やオートコンプリート機能では、「ID」「パスワード」をはじめとする、ブラウザ上で頻繁に入力される情報をChrome内部で保存し、入力フォーム上で自動表示させます。しかし、これらの情報は平文、つまり「暗号化されていない普通のテキスト」として保存されています。

2017年6月、大手旅行代理店JTBの子会社が管理するデータベースから、793万件の個人情報が漏えいしました。これはデータベース内の個人情報が暗号化されていなかった、つまり平文で保存されていたことが原因です。 

「平文で保存されたデータの漏えいによる危険性」は、企業の顧客データベースが攻撃されることだけではありません。例えば、顧客情報にアクセスする権限のある、企業の従業員が自身のパソコンに「平文でIDやパスワードを保管している」状態は、それだけで大規模な情報漏えいの危険が高まる危険な行為となります。データを暗号化せずに平文で保存するのは、「重要データを紙に印刷して持ち歩いている」くらい危険な行為です。 

外部から攻撃を受け、不正アクセスを受けたパソコンのChromeに、会社の顧客データベースのID・パスワードが保管されている場合を想像してみてください。侵入者は、平文で保存されたID・パスワードを使って、安全な場所からアクセスして顧客情報を根こそぎ盗み去ってしまうでしょう。侵入者からすると、「顧客データベースを直接攻撃」しなくても、「重要データにアクセス権がある、たった1人の従業員のパソコン」に侵入し、平文のID・パスワードを盗み出せば、それで目的を達成できるのです。 

ちなみに、ご自身のChromeでIDやパスワード、オートコンプリートの情報がどのように平文で保存されているかは、以下から確認できます。
(以下のスクリーンショットは、Chromeのバージョン 60.0.3112.90の画面となります。バージョンにより画面が若干異なる場合があります。) 

1.Chromeウィンドウ右上の「設定ボタン(縦に並ぶ3個の点)」をクリック

step1.PNG

2.「設定 (S) 」をクリック

step2.PNG

3.詳細設定ボタンをクリック

画面を下方向にスクロールさせ、「詳細設定」ボタンを表示させ、クリックします。

step3.png

4.自動入力の設定、またはパスワードを管理の右側をクリック

pass_forms.png

4-1.「自動入力の設定」右側をクリック→オートコンプリートの保存内容が表示

オートコンプリートで登録されている住所、名前、クレジットカード情報などが表示されます。

autocomplete_1.png

 

4-2.「パスワードを管理」右側をクリック→ID・パスワードの保存内容が表示

Webサイトのアドレス、ID(ユーザー名)、パスワードの登録情報が表示されます。パスワードは表示されないように見えますが、内部的には平文で保存されています。保存されているパスワードを確認するには、各行の右側に縦に「…」が3つ並んでいる部分をクリックしてください。

ID_pass_2.png

その後、表示される「詳細」を押してください。

ID_pass_3.png

次に、「保存パスワードの詳細」画面で、パスワード右の、目のアイコンをクリックしてください。

ID_pass_4_1.png

Windowsのパスワードが求められた場合は、ログオン時のパスワードを入力し、OKをクリックします。

ID_pass_51.png

これで、保存されているパスワードが表示されます。こうしたパスワードは全て平文で保存されています。

ID_pass_13.png

 

Chromeの設定変更・平文で保存されている情報を消去

次に、平文のID・パスワードなどの情報をChrome内に保持しないようにする方法をお伝えします。
(以下のスクリーンショットは、Chromeのバージョン 60.0.3112.90の画面となります。バージョンにより画面が若干異なる場合があります。) 

1.Chromeウィンドウ右上の「設定ボタン(縦に並ぶ3個の点)」をクリック

step1.PNG

 

2.「設定 (S) 」をクリック

step2.PNG

 

3.詳細設定ボタンをクリック

画面を下方向にスクロールさせ、「詳細設定」ボタンを表示させ、クリックします。

step3.png

 

4.「予測サービスを使用してアドレスバーに入力した検索とURLを補完する」をオフにする

  step4.png

 

5.「自動入力の設定」の右側のボタンをクリック

step5.png

 

6.「自動入力の設定」をオフにする

step6.png

 

7.設定を一度閉じ、再度設定アイコンをクリック

「その他のツール」→「閲覧履歴を消去」をクリック。

 step7.png

 

8.「閲覧履歴データを消去する」で、「パスワード」と「自動入力フォームのデータ」を選択した後、「閲覧履歴データを消去する」をクリックする。

この際、他のチェックボックスにチェックが入っている場合、チェックを外してください。

step8.png

 

これで「設定変更」ならび「現在保存されているデータの消去」の両方が完了です。

なお、貴社にてActive Directoryが導入されており、Chromeにグループポリシーを適用している場合、これを利用することが可能です。詳細は、「デバイス用のChromeポリシーを設定する」をご覧頂き、最新の設定方法ならび、変更方法をご確認ください。

 

平文保存せずに利便性とセキュリティを両立させるSKUID

img_function_01.png 

以上、Chromeのパスワード管理・オートコンプリートの危険性と、設定変更・データ消去方法をお伝えしました。しかし、これらの機能をオフにすることは、セキュリティの向上には貢献しますが、ユーザーの利便性を損なってしまうのが実情です。 

ここで考慮したいのは、「セキュリティを確保しつつ、利便性も犠牲にしない」方法となります。現在では、セキュリティと利便性の両立のため、IDaaS (ID as a Service, クラウドでの企業向けID管理サービス)を活用する企業が急増しています。

国産IDaaSである「SKUID」は、企業が無料で導入することが可能です。SKUIDを用いることで、各クラウドサービスや業務システムのID・パスワードを情報システム部門で一元管理することができます。そしてユーザーは、SKUID経由で1つのID・パスワードを使って、様々なシステムにログインを行うことができるようになります。

「セキュリティを確保しつつ、利便性を犠牲にしない」、これがSKUIDです。

SKUIDは、1IDから無料でご利用頂くことが可能です。詳細を確認し、貴社での利用をぜひご検討ください。

 

ニュースレタークイズの答え 2017年9月12日号

 

<問題>
ブラウザへのパスワード保存について、正しい記述を選んでください。

(A)Chromeのパスワード管理機能は、非常に強固なセキュリティーで過去漏えい事件は発生したことがない。

(B)Chromeのパスワード管理機能は、情報を暗号化して保存している為安全である。

(C)Chromeのパスワード管理機能は、定期的にパスワード変更を促される為セキュリティーが強化される。

(D)Chromeのパスワード管理機能は、情報を平文で保存している為に非常に危険である。

 

<答え>
(D)Chromeのパスワード管理機能は、情報を平文で保存している為に非常に危険である。


Chromeのパスワード管理機能では、「ID」「パスワード」をはじめとする情報は平文、つまり「暗号化されていない普通のテキスト」として保存されており非常に危険です。


不正アクセスによる情報漏えい事件も、過去何度となく発生しています。

詳しくは以下の記事もご参照ください。

 

 

危険!Chromeの機能でID・パスワードを保存していませんか?

 

Google製のインターネットブラウザ「Chrome」は、パソコンのブラウザとして、長らく最も利用されてきたInternet Explorerを抜いて、現在シェア1位になっています。

そのChromeには「パスワード管理」ならび「オートコンプリート」という機能があります。例えば、様々なクラウドサービスにログイン時する際のID・パスワードなどの情報を、Chromeが保存・管理してくれるという機能です。

一見大変便利な機能に思えますが、セキュリティ的には大変危険であることから、いますぐにでもこの機能をOFFにする必要があります。

 

平文で保存する危険性

AdobeStock_86369968.jpg

Chromeのパスワード管理やオートコンプリート機能では、「ID」「パスワード」をはじめとする、ブラウザ上で頻繁に入力される情報をChrome内部で保存し、入力フォーム上で自動表示させます。しかし、これらの情報は平文、つまり「暗号化されていない普通のテキスト」として保存されています。

2017年6月、大手旅行代理店JTBの子会社が管理するデータベースから、793万件の個人情報が漏えいしました。これはデータベース内の個人情報が暗号化されていなかった、つまり平文で保存されていたことが原因です。 

「平文で保存されたデータの漏えいによる危険性」は、企業の顧客データベースが攻撃されることだけではありません。例えば、顧客情報にアクセスする権限のある、企業の従業員が自身のパソコンに「平文でIDやパスワードを保管している」状態は、それだけで大規模な情報漏えいの危険が高まる危険な行為となります。データを暗号化せずに平文で保存するのは、「重要データを紙に印刷して持ち歩いている」くらい危険な行為です。 

外部から攻撃を受け、不正アクセスを受けたパソコンのChromeに、会社の顧客データベースのID・パスワードが保管されている場合を想像してみてください。侵入者は、平文で保存されたID・パスワードを使って、安全な場所からアクセスして顧客情報を根こそぎ盗み去ってしまうでしょう。侵入者からすると、「顧客データベースを直接攻撃」しなくても、「重要データにアクセス権がある、たった1人の従業員のパソコン」に侵入し、平文のID・パスワードを盗み出せば、それで目的を達成できるのです。 

ちなみに、ご自身のChromeでIDやパスワード、オートコンプリートの情報がどのように平文で保存されているかは、以下から確認できます。
(以下のスクリーンショットは、Chromeのバージョン 60.0.3112.90の画面となります。バージョンにより画面が若干異なる場合があります。) 

1.Chromeウィンドウ右上の「設定ボタン(縦に並ぶ3個の点)」をクリック

step1.PNG

2.「設定 (S) 」をクリック

step2.PNG

3.詳細設定ボタンをクリック

画面を下方向にスクロールさせ、「詳細設定」ボタンを表示させ、クリックします。

step3.png

4.自動入力の設定、またはパスワードを管理の右側をクリック

pass_forms.png

4-1.「自動入力の設定」右側をクリック→オートコンプリートの保存内容が表示

オートコンプリートで登録されている住所、名前、クレジットカード情報などが表示されます。

autocomplete_1.png

 

4-2.「パスワードを管理」右側をクリック→ID・パスワードの保存内容が表示

Webサイトのアドレス、ID(ユーザー名)、パスワードの登録情報が表示されます。パスワードは表示されないように見えますが、内部的には平文で保存されています。保存されているパスワードを確認するには、各行の右側に縦に「…」が3つ並んでいる部分をクリックしてください。

ID_pass_2.png

その後、表示される「詳細」を押してください。

ID_pass_3.png

次に、「保存パスワードの詳細」画面で、パスワード右の、目のアイコンをクリックしてください。

ID_pass_4_1.png

Windowsのパスワードが求められた場合は、ログオン時のパスワードを入力し、OKをクリックします。

ID_pass_51.png

これで、保存されているパスワードが表示されます。こうしたパスワードは全て平文で保存されています。

ID_pass_13.png

 

Chromeの設定変更・平文で保存されている情報を消去

次に、平文のID・パスワードなどの情報をChrome内に保持しないようにする方法をお伝えします。
(以下のスクリーンショットは、Chromeのバージョン 60.0.3112.90の画面となります。バージョンにより画面が若干異なる場合があります。) 

1.Chromeウィンドウ右上の「設定ボタン(縦に並ぶ3個の点)」をクリック

step1.PNG

 

2.「設定 (S) 」をクリック

step2.PNG

 

3.詳細設定ボタンをクリック

画面を下方向にスクロールさせ、「詳細設定」ボタンを表示させ、クリックします。

step3.png

 

4.「予測サービスを使用してアドレスバーに入力した検索とURLを補完する」をオフにする

  step4.png

 

5.「自動入力の設定」の右側のボタンをクリック

step5.png

 

6.「自動入力の設定」をオフにする

step6.png

 

7.設定を一度閉じ、再度設定アイコンをクリック

「その他のツール」→「閲覧履歴を消去」をクリック。

 step7.png

 

8.「閲覧履歴データを消去する」で、「パスワード」と「自動入力フォームのデータ」を選択した後、「閲覧履歴データを消去する」をクリックする。

この際、他のチェックボックスにチェックが入っている場合、チェックを外してください。

step8.png

 

これで「設定変更」ならび「現在保存されているデータの消去」の両方が完了です。

なお、貴社にてActive Directoryが導入されており、Chromeにグループポリシーを適用している場合、これを利用することが可能です。詳細は、「デバイス用のChromeポリシーを設定する」をご覧頂き、最新の設定方法ならび、変更方法をご確認ください。

 

平文保存せずに利便性とセキュリティを両立させるSKUID

img_function_01.png 

以上、Chromeのパスワード管理・オートコンプリートの危険性と、設定変更・データ消去方法をお伝えしました。しかし、これらの機能をオフにすることは、セキュリティの向上には貢献しますが、ユーザーの利便性を損なってしまうのが実情です。 

ここで考慮したいのは、「セキュリティを確保しつつ、利便性も犠牲にしない」方法となります。現在では、セキュリティと利便性の両立のため、IDaaS (ID as a Service, クラウドでの企業向けID管理サービス)を活用する企業が急増しています。

国産IDaaSである「SKUID」は、企業が無料で導入することが可能です。SKUIDを用いることで、各クラウドサービスや業務システムのID・パスワードを情報システム部門で一元管理することができます。そしてユーザーは、SKUID経由で1つのID・パスワードを使って、様々なシステムにログインを行うことができるようになります。

「セキュリティを確保しつつ、利便性を犠牲にしない」、これがSKUIDです。

SKUIDは、1IDから無料でご利用頂くことが可能です。詳細を確認し、貴社での利用をぜひご検討ください。