ブラウザに保存しないで・・・
PC Watchの記事に、 Emotet感染でChromeのクレカ情報が盗まれる。警察庁が警告 てのがありました。
警察庁は9日、2021年から活動が観測されている不正プログラム「Emotet」に、Webブラウザ「Google Chrome」に保存されたクレジットカード番号や名義人氏名、有効期限などのカードデータを盗み、外部に送信する機能が追加されたと発表し、注意を促したそうです。記事によると・・・
Google Chromeは個人情報を暗号化して保存しているが、Emotetの新機能は暗号データを復元する暗号鍵も同時に盗むため、クレジットカード情報などが第三者に知られる恐れがあるという。
Emotetは、メールの添付ファイルを主な感染経路とする不正プログラム。パスワード付きzipファイルで圧縮されている文書ファイルのマクロを実行することで感染するという。なお、URLリンクや圧縮されていない文書ファイルなどからの感染事例もあるという。
だそうです。Emotetに関しては、本ブログでも度々取り上げて注意を促していましたが、また凶悪な機能が実装されたようです。
記事にもあるように、Google Chromeに保存されたクレジットカード番号や名義人氏名、有効期限などのカードデータが流出する危険があるとのことです。
以前のエントリー でもお伝えした通り、最近のEmotetはExcelのマクロ機能を有効化せずとも感染するショートカットファイルの形式が増えており、より簡単に感染してしまう可能性がありますので、十分な注意が必要です。
また、Google Chromeにはクレジットカード情報だけでなく、ウェブサービスなどへのログイン情報(IDやパスワード等)を保存する機能も備えており、実際にご利用の方も多いと思います。
このChromeのログイン情報の保存機能に関しても、可能であれば利用しないほうが良いと思われます。
これは、実際にお試しいただきたいのですが、Chromeの「設定」 → 「自動入力」 → 「パスワード」 → 「︙(その他の操作)」 → 「パスワードをエクスポート」 と操作すると、Chromeに保存してあるURL、ID、パスワード等がCSVファイルで簡単にエクポートされます。
もちろん、出力前にWindowsサインインパスワードが要求されますが、Chromeに保存してあるIDやパスワードが簡単に出力できてしまうんです。
もし、誰かが古典的な ショルダーハック などの ソーシャルハッキング を利用して、あなたのWindowsサインインパスワードを盗み見ていたとしたら・・・
あなたが会社などで離席している間に、Chromeに保存されたIDやパスワードを出力してコピーすることなど造作もない事なのです。
このように、Chromeの自動入力機能は非常に手軽で便利ではあるのですが、上記のように簡単に流出する可能性があることも理解しておくべきでしょう。
今後、Emotetに今回と同様にIDとパスワードを盗み出す機能が追加されないとも限りません。Google Chromeをご利用の場合には、十分にご注意下さい。