US×オートコンプリート機能

US×オートコンプリート機能

近年、PCやスマホの利便性向上の為、オートコンプリート機能が注目されております。
今回はオートコンプリート機能のメリットや脅威をタケやんがご紹介いたします。

オートコンプリート機能とは

オートコンプリートとは過去に入力した文字を記憶して、文字列の最初の文字を入力、または、カーソルインをするだけで自動的に前回の入力候補を表示・入力してくれる機能のことです。

オートコンプリート機能による個人情報の流出

オートコンプリート機能を用いた悪用で下記のような記事があります。

————————————————————————————————-
名前など一部の情報を入力しただけで、ユーザーが知らないうちに住所や電話番号、会社名といった情報まで送信させるフィッシング詐欺攻撃に悪用できてしまう問題をWeb開発者が指摘した。

自動入力機能は、Chromeではデフォルトで有効になっており、名前や組織名、住所、電話、メールアドレスなどの情報が保存されてフォームに自動的に入力される。

フィンランドのWeb開発者Viljami Kuosmanen氏は、この機能を悪用したフィッシング詐欺のデモページをGitHubに掲載した。

このページで名前とメールアドレスのみを入力して「送信」ボタンをクリックすると、自動入力機能で保存されていた電話番号、組織名、住所といった情報までが、ユーザーの知らないうちに送信されてしまう。
※参照URL http://www.itmedia.co.jp/enterprise/articles/1701/12/news066.html
——————————————————————————————————–

上記のように、フィッシングサイトなどの不正が増加すると、オートコンプリート機能のような
ユーザービリティーが向上できる機能が損なわれしまいます。

安全なるオートコンプリート機能~US

弊社で提供しているオートコンプリート機能ではブラウザの記憶だけではなく、URLのドメインを機能の発動条件としております。

通常フィッシングサイトは正規以外のドメインで構築されますので、上記のような被害はなく、安全に他サイト(ドメイン)でもオートコンプリート機能を使用できます。

これぞ、ユーザービリティーとセキュリティの、、、、、ぅ~ん「ユーザーセキュビュリティ(US)」です。

最後に弊社ではオートコンプリート機能(EFO)だけではなく、フィッシングサイト対策などのセキュリティ対策を展開しておりますので、よろしければ下記URLをご参照ください。

Fraud Protect
独自の不正判定データとEメールアドレス等でリスクを素早く検知。
http://www.showcase-tv.com/fraudprotect/

Anti-Phishing
導入するだけで、フィッシングサイト生成時にリアルタイム検知。
http://www.showcase-tv.com/pressrelease/release-protech-anti-phishing/

コメント