インターネットイニシアティブ(IIJ)は2015年5月27日、Webブラウザーの拡張機能(プラグインなど)が原因で、企業のシステム情報などが漏洩する恐れがあるとして注意を呼びかけた。拡張機能が備えるURL送信機能により、社内システムのサーバー情報が第三者に送られる場合がある。
拡張機能の中には、本来の機能のほかに、拡張機能を組み込んだWebブラウザーでアクセスした全てのURLを、外部の第三者に送信するものがあるという(図1、図2)。同社では具体的な製品名を明らかにしていないものの、そういった拡張機能が複数出回っていて、実際に企業で利用されているのを確認しているとする。
図1●URLを送信する拡張機能を組み込んだWebブラウザーでWebサイトにアクセス様子(IIJの情報から引用。以下同じ)
[画像のクリックで拡大表示]
図2●第三者への通信に、アクセスしたWebサイトのURLが含まれている
[画像のクリックで拡大表示]
こうした拡張機能を企業ネットワークのユーザーが利用すると、本来は秘密にしておくべき社内システムの名称やアクセス時のパラメーターなどが、外部の第三者に送信されるという。そのような情報は、該当企業を狙う攻撃者に悪用される恐れがある。
企業としては拡張機能の利用を制限すべきだが、実際には難しいという。拡張機能はWebブラウザーの一部として動作するので、ソフトウエア資産管理システムなどで動作を制限できない場合があるためだ。
また、URLを送信する拡張機能には、HTMLやJavaScriptなどのデータの組み合わせで実現されるものがあるので、検出が困難だとする。対策としては、拡張機能を配布するサイトへのアクセス制限や、URL情報の送信先への通信規制など、通信経路上の対処が最も有効だとしている。
[IIJの情報]
