出張中、スマートフォンは圏外、しかもホテルの予約を急いで 取り直さないといけません。フロントには business center の PC が置いてあり、browser もすでに開いた状態で、 愛想のいい係員が「気軽にログインしてくださいね」と勧めてきます。 ほんの一瞬ためらい、いつだったか読んだ不穏な Reddit のスレッドが二つ頭をよぎりますが、それでも Gmail のパスワードを打ち込んでしまいます。一週間後、ちょうど そのキオスクの前にいた時間にアカウントが乗っ取られていたと 知ることになります。
共有のコンピューターは必ずしも悪意を持っているわけではありませんが、 自分のものでもありません。バックグラウンドで何が動いているのか、 知らないうちにパスワードが保存されていないか、隣の誰かが 覗いていないか、browser の store に extension を装った keylogger が紛れ込んでいないか、どれも確かめようがありません。 リスクは確かに存在しますが、実践的なアドバイスはたいてい 曖昧です。この記事では、実際に何が起きているのかを整理し、 問題そのものを回避する構成を紹介します。
共有端末が実際に拾っているもの
キー入力。侵害された端末では、小さな keylogger がひとつあるだけで、打ち込んだパスワードが すべて吸い取られます。キーボードと USB ポートの間に挟む ハードウェア型 keylogger はあくまで一種類にすぎず、 ソフトウェア型はシステムサービスを装い、管理者権限のない ユーザーからは見えません。
保存済みパスワードと autofill。 browser に「このパスワードを保存しますか」と聞かれた ときにうっかり「はい」を押してしまうと、ローカルの パスワードストアに入り、後から使うユーザーが取り出せる 状態になります。守っているのは OS のパスワードだけ、 という場合が多く、それは自分も知っていますが、端末の 持ち主やその家族も同じように知っています。
browser の履歴と cookie。 きれいにログアウトしたつもりでも、URL やセッションの cookie は「履歴」ボタンを一度押すだけのところに残って いる、というのは珍しくありません。シークレットモードは 助けになりますが、使うことを覚えていれば、の話で、しかも 効くのはローカルに残る痕跡まで。keylogger や画面録画の 前では無力です。
クリップボード。パスワード マネージャーからコピーすると、次に別のものがコピーされる までシステムのクリップボードに残ります。clipboard manager の多くは、コピーされた中身を静かに記録しています。
三つのシナリオ、三つのリスク
ホテルや図書館のキオスク。 PC は 不特定多数が使う共用機で、管理しているのは技術に詳しい 人とは限らず、古いソフトウェアが動いていることも多く、 ユーザーごとにきちんと初期化されることはまずありません。 基本的なリスクは、自分より前の誰かが仕込んだ keylogger です。確率がそれほど高いわけではありませんが、最悪の 場合はアカウントが丸ごと乗っ取られます。
友人のコンピューター。端末は私物で、 たぶん悪意はありませんが、その状態まではわかりません。 悪気のない友人が、パスワード欄をすべて記録するタイプの browser 拡張機能を入れている可能性もあります。さらに よくないのが、うっかり「保存」を押してしまうと、自分の パスワードが相手の browser のパスワードストアに 入ってしまうことです。
同僚の業務用ノート PC。ここでは さらに IT 部門が絡んできます。業務用ノート PC では、 キー入力や browser のトラフィックを記録する endpoint monitoring が動いていることがよくあります。悪意があって のことではありませんが、自分の個人用パスワードが、 自分を雇ってもいない会社のログに残ることになります。
定番の対策を正直に採点する
| 対策 | keylogger に有効 | cookie 盗難に有効 | 実用性 |
|---|---|---|---|
| シークレットモード | いいえ | 一部 | はい |
| password manager + autofill | いいえ | いいえ | インストール済みの場合のみ |
| セッション後にログアウト | いいえ | はい | はい |
| browser 履歴の削除 | いいえ | 一部 | はい |
| ハードウェアキー (FIDO2) | いいえ | はい | 事前準備がある場合のみ |
| cloud browser | はい | はい | はい |
シークレットモードとログアウトは cookie の問題は片付け ますが、keylogger の問題は片付けてくれません。 ハードウェアキーはログインの瞬間そのものは守れても、 その後のセッションは守れません。端末に infostealer が いれば、認証が終わった直後にセッションごと持っていかれ ます。この経路の詳細は Session Hijackingを参照してください。
共有端末に対する主要な攻撃すべてに効く唯一の対策は、 そもそも端末上でログインを起こさせないこと、結局それに 尽きます。
cloud browser が問題ごと解消してくれる理由
cloud browser とは、別の場所のインフラ上で動き、その 画面だけを配信してくれる browser のことです。ローカル の browser のタブの中に見えてはいますが、実際の処理は データセンター内の使い捨ての VM で走っています。そこに パスワードを打ち込むと何が起きるかというと、文字は 暗号化されたパケットとしてリモートセッションに届き、 セッション側がそれを自身の browser フォームに入力し、 認証サービスへの送信も暗号化されたまま行われます。 この間、keylogger が手を出せる層をローカルマシンが 通ることは一度もありません。ローカルマシン上では、 パスワードはパスワードとしてはそもそも存在しておらず、 暗号化されたストリームとしてしか通り過ぎていないからです。
同時に、共有端末側にセッションの cookie が残ることも ありません。cookie は cloud のコンテナの中で生きていて、 セッション終了時にまるごと捨てられるからです。autofill やパスワード保存機能も、そもそもローカルでは動きません。 browser の履歴に残るのは cloud browser 自体の URL だけで、 その中で訪れたサイトの URL は残りません。
つまり、ローカルマシンはログインの経路から外れます。 暗号化されたイベントを右から左へ渡すだけの、画面と キーボードのプロキシに徹する、ということです。
実践的なワークフロー
どうしても他人の端末で作業しないといけない稀なときには、この流れで十分です。
- 1
ローカルの browser ではなく、cloud browser を開く
ローカルの Chrome や Edge のインストール状態には手を つけません。新しいタブで cloud セッションを立ち 上げます。 - 2
password manager の vault には一度だけログインする
ログインは cloud browser の中で行います。そこから 先は autofill が他のログインをすべて引き受けます。 借りた端末のキーボードで実際に打ち込む秘密は、 マスターパスワードひとつだけ、というのが理想形です。 - 3
重要なアカウントには使い切りの 2FA を組み合わせる
ハードウェアキーを持ち歩いているなら、ログインが 終わるまでの間だけ差し込んでおきます。TOTP なら、 スマートフォンに表示されるコードで十分です。 - 4
cloud セッションは意識して終了する
タブを閉じるだけでは足りません。セッションそのものを 終わらせます。「セッション終了」をクリックすれば、 cloud のコンテナが解体されます。ローカル端末に残るのは、 cloud サービスの URL しか映らないタブの履歴だけです。
どんな端末でも、デスクトップ並みの快適さを。
Browser.lol を無料で試して、スマホやタブレットでも PC 並みの快適さを体感してみませんか?
デスクトップブラウザを試すダウンロード不要・どんな端末でも動作
