広告主は、あなたを追跡する新しい方法を見つけました。Freedom to Tinkerによると、現在、一部の広告ネットワークがトラッキングスクリプトを悪用して、パスワードマネージャーがウェブサイトに自動的に入力する電子メールアドレスを捕捉しているそうです。

しかし、さらに悪いことに、彼らはこのテクニックを使って、希望すればあなたのパスワードにアクセスすることもできるのです。これは、Chrome、Firefox、Edgeなどの内蔵パスワードマネージャや、LastPassなどのブラウザ拡張機能など、パスワードマネージャを使用しているすべての人に影響します。したがって、これを防ぐためには、自動入力機能を無効にしておいた方がよいでしょう。

オートフィルがあなたの情報を危険にさらす可能性

Webサイトでユーザー名とパスワードを保存すると、パスワードマネージャーがそれを記憶します。それ以降は、サイト上に表示されるユーザー名とパスワードのボックスに自動的に入力されるようになります。これにより、「ログイン」をクリックするだけでログインできるようになり、よりスピーディーになりました。

しかし、ほとんどすべてのウェブサイトで使用されているサードパーティの広告スクリプトの中には、これらを使用してお客様を追跡するものが出てきています。これはバックグラウンドで実行され、あなたには見えない偽のログインとパスワードのボックスを作成し、パスワードマネージャーがそこに入力する認証情報を取得します。

この問題は、こちらのデモページをご覧いただくと、ご自身で確認することができます。偽の電子メールアドレスとパスワードを記入すると、ブラウザのパスワードマネージャに保存するよう促されます。続ければ、バックグラウンドで自動入力され、スクリプトが電子メールアドレスとパスワードを取得します。

LastPassを使用している場合、このデモサイトでは今のところ問題はありませんが、ユーザーの介入を含まずにユーザー名とパスワードを自動入力するLastPassは、理論的には脆弱性があると考えられます。

ユニークなパスワードがあらゆるところで要求されるので、パスワードマネージャーはやはり不可欠です

関連：パスワードマネージャーを使うべき理由と、その始め方

この問題は、各ウェブサイトで固有のパスワードを使用することの重要性を示しています。Freedom to Tinkerによると、現在、上位100万サイトのうち1110サイトの広告主がこの攻撃を実際に使っているという。広告主は現在、ユーザー名とメールアドレスの取得にのみこの手法を使用していますが、特に機嫌が悪いときには、パスワードの取得を阻止することはできません。

もし広告主がウェブサイト上であなたのパスワードを傍受した場合、そのデータを持つ誰かができる最悪のことは、そのウェブサイトにログオンすることです。それは理想的なことではありませんが、最悪のことでもありません。もし、そのサイトのパスワードをメールアカウントと同じにすると、その人はメールアカウントにアクセスでき、それを使ってあなたの他のアカウントにアクセスすることができます。これは最悪の事態です。

そのため、私たちは何があってもパスワードマネージャーを使うことをお勧めしています。一般的な人は、オンラインでさまざまな種類のアカウントを持ち、これらのサイトに頻繁にアクセスするため、アクセスするサイトごとに固有のパスワードを使用することが重要です。一番良いのは、パスワードマネージャーを使うことで、赤ちゃんを風呂の水と一緒に捨てないことです。

オートフィルを無効にすることで、自分を守る

しかし、パスワードマネージャーで自動入力を無効にすることで、これらのスクリプトに関連するリスクをある程度軽減することができます。例えば、LastPassを使用している場合（現在はこれらのスクリプトの影響を受けていませんが、理論的には影響を受ける可能性があります）、自動入力機能によってログインフィールドに認証情報が入力され、「ログイン」をクリックすることができるようになります。自動入力が無効になっている場合は、パスワード欄のLastPassアイコンをクリックし、ユーザー名をクリックすると、保存された情報が入力されます。これはログインしようとするときのみ可能なので、認証情報を盗まれるのを防ぐことができます。もう全ページに散布することはないでしょう。

また、選択したパスワードマネージャーからユーザー名とパスワードをコピー＆ペーストすることで、より安全性が高まりますが、利便性は低下します。ログインページのみ手動で自動入力を開始するオプションは、セキュリティと利便性の良い妥協点であるべきだと考えています。これらのログインページがこのようなスクリプトによって壊された場合、あなたを助けるものは何もありません。いずれにせよ、あなたがログイン情報をコピー＆ペーストしたり、手動で入力したりしても、スクリプトはあなたのログイン情報を読み取ることができるのです。

残念ながら、ほとんどのブラウザのパスワード管理ツールでは、自動入力を無効にすることはできません。例えば、Google Chromeやmicrosoftedgeの統合パスワードマネージャーを使用している場合、自動入力を無効にすることはできません。chromeには自動入力を無効にするオプションがありますが、パスワードではなく、住所や電話番号などのデータに対する自動入力を無効にするのみです。オプションでパスワードの自動入力を無効にすることができますが、About: の設定に隠されています。

ChromeやEdgeに内蔵されているパスワードマネージャーを使用している場合は、LastPassや1Passwordなど、よりコントロールしやすいサードパーティーのパスワードマネージャーに変更することをお勧めします。 1Passwordは、自動入力機能がないため、この問題の影響を受けません。

LastPass では、ブラウザのツールバーにある LastPass 拡張ボタンをクリックし、「環境設定」をクリックすることで、オートフィルを無効にすることができます。一般」の「ログイン情報を自動入力する」のチェックを外し、「保存」をクリックして変更を保存します。

Firefoxのパスワードマネージャーを使い続けたい場合は、Firefoxのアドレスバーに「About: Configure」と入力してEnterキーを押してください。ここで設定を変更すると問題が発生する可能性があるという警告画面が表示されます。ご心配なく、ご指摘のたった一つの設定を変更すれば大丈夫です。リスクを受け入れる！」をクリックしてください。「をクリックしてください。

検索ボックスに「AutoFill Forms」と入力し、サインオンをダブルクリックします。Firefoxは、ユーザー名とパスワードを許可なく自動的に入力することはなくなりました。

他のパスワードマネージャーをお使いの場合は、その環境設定をオンにし、「自動入力」または「自動入力」オプションを無効にして、パスワードマネージャーが個人情報を明らかにしないようにする必要があります。

ブラウザとパスワードマネージャの開発者は、パスワードマネージャをより安全なものにするために、パスワードマネージャを見直す必要があります。また、特定のウェブサイトにアクセスするたびに、自動的にログインデータを入力するようなこともしてはいけません。それはトラブルを招くだけだ。しかし現在では、自動入力を無効にすることで、より安全性を高めることができます。

写真提供：vladwei/Shutterstock.com website.