Google Chromeの標準的な同期機能は、知らぬ間にブラウザを監視ツールへと変えてしまう恐れがあります。しかも、攻撃者にマルウェアや高度な技術力は一切必要ありません。必要なのは、他人のスマートフォンにほんの少しの間だけ物理的にアクセスすることだけです。これだけで、被害者のブラウザに自分のGoogleアカウントを簡単に接続できてしまうのです。
Certo Softwareの専門家たちがこの憂慮すべき手口を発見したのは、多数の相談が寄せられたことがきっかけでした。具体的には、これらの訴えの多くは、支配的なパートナーからデジタル的な監視を受けている人々からのものでした。例えば、ある女性は家族問題に詳しい弁護士を検索し、また家庭内暴力被害者支援のウェブサイトも閲覧していました。ところが驚くことに、そのわずか2日後、パートナーは彼女の閲覧履歴を事細かに把握していたのです。
ブラウザ乗っ取りの仕組み
被害女性は自分のスマートフォンしか使っていませんでした。しかも、新たにインストールされたアプリも見当たりませんでした。しかし、パートナーは以前その端末を少しの間借りたことがありました。その際、彼はChromeを開き、自分のGoogleアカウントでログインしていたのです。同期機能を有効にした瞬間から、彼女の閲覧履歴は彼のアカウントへと直接流れ込むようになっていました。
この不正に接続されたアカウントの所有者は、絶大な力を手にすることになります。別のパソコンでChromeを開くだけで、同期された履歴をどこからでも監視できてしまうのです。しかも、ストーカーは被害者のパスワードを知る必要すらありません。さらに悪いことに、新規ログインの通知はGoogleから実際の端末所有者ではなく、攻撃者側のアカウントに送られてしまいます。
閲覧履歴だけではない、より広範な危険
この深刻な脆弱性が及ぼす影響は、単なる閲覧履歴の一覧にとどまりません。Chromeはブックマーク、開いているタブ、オートコンプリートのデータ、さらに保存されたパスワードまで同時に同期します。そのため、被害者が新しいウェブサイトのパスワードを保存すれば、攻撃者はそれを即座に手に入れることになります。その後、ストーカーはそれを使って他の個人アカウントへの侵入を試みる可能性もあります。
見えない侵入者
残念ながら、Chromeは新しく追加されたプロファイルや同期が有効になっていることについて、目立った警告を一切表示しません。そのため、ほとんどのユーザーは自分のアプリにどのアカウントが接続されているかを確認することがありません。StatCounterによれば、Chromeは2026年6月時点で世界のブラウザ市場において69.65%という圧倒的なシェアを占めています。したがって、この単純な悪用手口は、何も知らない数百万人ものユーザーを危険にさらしかねません。さらに、この手口はWindowsおよびmacOSのパソコンでもまったく同様に機能してしまいます。
提案される対策と防御策
Certoは、誰かが新しいアカウントを接続した際に一時的な通知を表示する仕組みをGoogleに導入するよう求めています。さらに、ブラウザには現在同期されているプロファイルを常時表示すべきだとしています。こうしたシンプルな視覚的合図があれば、端末の所有者は不正アクセスを迅速に察知できるようになります。重要なのは、これらの通知が通常のブラウジング操作を妨げるものではないという点です。
ユーザーは、ブラウザの設定画面から接続中のプロファイルを簡単に確認できます。iPhoneやiPadでは、アカウントのアドレスが設定メニューの上部に大きく表示されます。一方、Android、Windows、macOSのユーザーはプロファイルアイコンをタップすることで確認可能です。見覚えのないアカウントを見つけた場合は、直ちに削除してください。さらに、重要なサービスのパスワードもすぐに変更する必要があります。
最後に、極めて機密性の高い検索を行う際にはシークレットモードを活用するとよいでしょう。このプライベートモードを使えば、閲覧したページが同期される履歴に記録されることはありません。加えて、複雑なパスコードや生体認証によって、スマートフォン本体をしっかり保護することも大切です。システム設定を確認し、見覚えのない指紋や顔認証データが登録されていないか、常にチェックするようにしてください。結局のところ、この手口が成立してしまうのは、身近なブラウザ機能が従来型のスパイウェアを使わずとも、ひそかな監視を可能にしてしまうからにほかなりません。
翻訳元: https://meterpreter.org/chrome-sync-cyberstalking/