名前も住所も勝手に入力される不思議
Web サイトの入力フォームをクリックすると、名前、メールアドレス、住所が自動的に候補として表示される。便利ですが、「なぜブラウザが私の名前を知っているの?」と不思議に思ったことはありませんか。
自動入力の仕組み - 3 つのソース
ブラウザの自動入力 (オートフィル) は、以下の 3 つの情報源からデータを取得しています。
1. 過去の入力履歴
フォームに名前やメールアドレスを入力すると、ブラウザはその内容を記憶します。次に同じようなフォームに出会ったとき、過去の入力内容を候補として表示します。フォームの項目名 (name 属性) を手がかりに、「これは名前の欄だ」「これはメールアドレスの欄だ」と判断しています。
2. ブラウザに保存したプロフィール
Chrome、Safari、Firefox には「自動入力の設定」があり、名前、住所、電話番号、クレジットカード情報を事前に登録できます。登録した情報は、対応するフォームで自動的に候補として表示されます。
3. パスワードマネージャー
ブラウザ内蔵のパスワードマネージャーや、1Password、Bitwarden などの外部ツールが、サイトごとのログイン情報を保存しています。URL を認識して、対応するユーザー名とパスワードを自動入力します。パスワード管理の安全な方法については、パスワードセキュリティの基本も参照してください。
自動入力のセキュリティリスク
便利な自動入力ですが、セキュリティ上のリスクもあります。
隠しフォーム攻撃
悪意のある Web サイトが、画面に見えない隠しフォーム (CSS で非表示にしたフォーム) を設置し、ブラウザの自動入力機能を悪用してユーザーの個人情報を盗み取る攻撃があります。ユーザーが見えるフォームにメールアドレスだけ入力したつもりでも、隠しフォームに名前、住所、電話番号が自動入力されている可能性があります。こうした手口はフィッシング詐欺の検出方法を知っておくことで被害を防ぎやすくなります。
現在の主要ブラウザは、この攻撃への対策として、非表示のフォームには自動入力しないよう改善されています。しかし、古いブラウザでは依然としてリスクがあります。
共有デバイスでの情報漏洩
家族や同僚と共有するパソコンでは、自動入力に保存された情報が他の人に見られる可能性があります。共有デバイスでは、ブラウザのプロフィールを分けるか、自動入力を無効にすることを推奨します。万が一個人情報が流出した場合の対処法は、データ漏洩時の対応ガイドにまとめています。
自動入力を管理する方法
- Chrome: 設定 → 自動入力とパスワード → 住所やお支払い方法を管理
- Safari: 設定 → 自動入力 → 連絡先情報やクレジットカードの管理
- Firefox: 設定 → プライバシーとセキュリティ → フォームと自動入力
不要な情報は定期的に削除し、クレジットカード情報の自動入力は慎重に使いましょう。
まとめ
ブラウザの自動入力は、過去の入力履歴、保存したプロフィール、パスワードマネージャーの 3 つから情報を取得しています。便利ですが、隠しフォーム攻撃や共有デバイスでの情報漏洩のリスクがあります。IP 確認さんのようにフォーム入力が不要なサイトでは、自動入力のリスクを心配する必要はありません。
ブラウザのプライバシー機能について詳しく知りたい方には、Web プライバシーの解説書が参考になります。