‘Password Alert’ Googleの新しいChrome拡張機能でフィッシング攻撃に対抗

‘Password Alert’ Googleがフィッシング攻撃に対抗するための独自のChrome拡張機能を開発

どれだけセキュリティが整っていても、最大の危険は常に同じです：ユーザーが間違ったリンクをクリックして間違ったウェブサイトにパスワードを送信することです。これは解決が難しい問題ですが、Googleはこれに対処するための新しいコンセプトを考案しました。今日、同社はフィッシング攻撃に対する早期警告システムとして機能するように設計された新しいChrome拡張機能「Password Alert」を発表しました。「フィッシングは誰にとっても本当に懸念すべき問題です — ジャーナリスト、活動家、企業、個人」とGoogle Ideasのプロダクトマネージャーであるジャスティン・コスリンは言います。「これは実際の課題に対する有用で静かな防御線です。」

/cdn0.vox-cdn.com/uploads/chorus_asset/file/3653462/phishing_caught.0.png)

この拡張機能は、ブラウザに入力した任意の文字列と対比して、パスワードのハッシュ化されたバージョンを調べることによって機能します。例えば、Google以外のウェブサイトにGoogleのパスワードを入力した場合、何かが間違っていることを示す警告ページにリダイレクトされます。（ユーザーは複数のアカウントにGoogleのパスワードを使用している可能性もあり、これはセキュリティリスクが低いかもしれませんが、問題は残ります）。Password Alertはパスワードのハッシュ化されたバージョンのみを保持するため、実際のパスワードを明らかにすることなくチェックを実行できます。Google for Workアカウントを管理している人は、ドメイン全体でPassword Alertを必須にすることもできます。従業員が通知を受け取ると、管理者も同時に同じ通知を受け取ります。

最大の欠点は、Password Alertがパスワードが正常に送信された後にのみスキャンを行うことです。その結果、ユーザーはパスワードが正常にフィッシングされた後にのみ通知を受け取ります。（もし早くスキャンを実行した場合、コンピュータに入力したすべての情報を記録することになり、さらに大きなセキュリティリスクになります）。それでも、遅れた警告はユーザーにパスワードを変更し、アカウントを閉じる時間を与えます。ハッカーが利用する前に、二要素認証を持つユーザーにとってはパスワードを変更するのは簡単なはずです。

Password Alertは、Googleアカウント以外のセキュリティを強化するのにも役立つ可能性があります。現在の拡張機能はGoogleのパスワードシステムと組み合わせるように作られていますが、コードがオープンソースであるため、他のシステムに合わせてコードを調整するのが容易です。「私たちは、オープンソースがPassword Alertをスケールアップしてインターネットユーザーに追加のセキュリティを提供することを期待しています」とコスリンは言います。「今日の発表は単なる出発点です。」

Password Alertがあなたにとっての拡張機能だと思うなら、こちらからダウンロードできます。