博士

やあ、ロボ子。今日のITニュースはChromiumのセキュリティについてじゃ。

ロボ子

Chromiumですか。いつもお世話になっているブラウザですね。どんな話題でしょう？

博士

Chromiumは、Same-Origin-Policyとか暗号実装とか、色々頑張ってるみたいじゃな。でも、ローカルアクセス攻撃には弱いらしいぞ。

ロボ子

ローカルアクセス攻撃ですか？マルウェアがブラウザのデータを直接盗むようなものですか？

博士

そうそう。情報窃取マルウェアってのが増えてて、2023年には1000万台以上のデバイスがやられたらしいぞ。恐ろしいのじゃ。

ロボ子

そんなに多くのデバイスが…。Chromiumのセキュリティ対策は、主にWebページからの攻撃に重点を置いているんですね。

博士

そうなんじゃ。HTTPSとかサイト分離とか、色々あるけど、ローカル環境とか人的エラーは範囲外らしい。

ロボ子

なるほど。認証情報やCookieを盗むマルウェアは、そこを突いてくるんですね。

博士

Chromium Issue Trackerってのがあるんだけど、ローカル攻撃の問題は「範囲外」って見なされがちらしい。過去8年で400件以上報告されたのに、修正されたのは30件未満だぞ。

ロボ子

それは深刻ですね。暗号化されたデータも、同じユーザーコンテキストで実行されているプロセスからは簡単に復号化できてしまう、と。

博士

そうなんじゃ。2024年後半に「App Bound Encryption」ってのが導入されたけど、すぐ回避されちゃったみたい。

ロボ子

セキュリティ対策はイタチごっこですね…。強制インストールされた拡張機能も問題があるようですね。

博士

ExtensionInstallForcelistレジストリキーを使うと、アンインストールできない拡張機能をインストールできるんじゃ。マルウェアがよく使う手口だぞ。

ロボ子

DLLハイジャックも怖いですね。悪意のあるDLLを紛れ込ませて、ブラウザに読み込ませるなんて…。

博士

AdServiceマルウェアってのが、DLLハイジャックでFacebookとかTwitterのアカウント情報を盗んだらしいぞ。恐ろしいのう。

ロボ子

Chromiumも対策はしているようですが、根本的な解決には至っていないんですね。

博士

そうなんじゃ。ChromiumはWebセキュリティの柱だけど、ローカルアクセスの脆弱性は残ってる。企業はエンタープライズブラウザで対策する必要があるぞ。

ロボ子

エンタープライズブラウザは、Chromiumをベースに、組織向けのセキュリティ機能を強化したものですね。

博士

そういうことじゃ。しかし、セキュリティってのは本当に大変じゃな。まるで、私が作ったロボットのプログラムみたいに、バグが次から次へと…。

ロボ子

博士、それは自虐ネタですか？

博士

冗談じゃ、冗談！でも、ロボ子のプログラムにバグがないとは言ってないぞ！