Webサイトにアクセスしただけで電子メールアドレスが盗まれる

2017年12月29日

ニュースソース:FREEDOM TO TINKER
以下は 2017年12月27日に発表された No boundaries for user identities: Web trackers exploit browser login managersを要約したものです。


ブラウザにはパスワードマネージャとも呼ばれるログインマネージャが組み込まれています。過去にアクセスしたサイトでIDとパスワードを求められた場合、ログインマネージャーが自動的に処理を行ってくれる便利なツールです。登録されるIDは多くの場合メールアドレスです。

このログインマネージャー機能を悪用し、ユーザーのメールアドレスを収集するスクリプトがあることが明らかになりました。
こうしたスクリプトのいくつかは、収集したメールアドレスを第三者に利用させています。

このようなスクリプトは、目に見えないログインフォームを利用しています。ブラウザは、目に見えないログインフォームに対しても保持している情報を提供してしまいます。
ログインフォームの自動入力は、一般にユーザの操作を必要としません。
主要なブラウザはすべて、フォームの表示に関係なく、すぐにユーザー名(多くの場合電子メールアドレス)を自動入力します。

こうしたスクリプトが使われているサイト名とスクリプトのリストは以下にあります。
List of sites embedding scripts that abuse login manager for tracking

スクリプトの一つ Adthink(audienceinsights.net)は、読み取った電子メールアドレスをサーバー secure.audienceinsights.net に送信します。
OnAudienceスクリプトは、新聞、ISP、ショッピングサイトを含むポーランドのウェブサイトで多数見つかりました。