ウェブ上で最も人気のあるポルノ、ニュース、トレントサイトにアクセスする際は、注意が必要です。これらのサイトは、ユーザーの同意なしにブラウザの履歴を覗き見している可能性があります。カリフォルニア大学サンディエゴ校の研究者たちは、世界で最も人気のあるウェブサイト5万件のうち485件が、ブラウザのウェブ履歴を読み取ることができる脆弱性を悪用していることを発見しました。研究者によると、問題のサイトにはYouPorn.com、Gamesfreak.com、Newsmax.com、TwinCities.comなどが含まれています。
ヒストリー・スニッフィングと呼ばれる、JavaScriptとカスケーディング・スタイルシート(CSS)のプロパティを組み合わせた手法により、サイト側はユーザーがウェブ上でどこにアクセスしたかを把握することができます。研究者らの調査結果は、「JavaScriptウェブアプリケーションにおけるプライバシー侵害情報フローの実証的研究」と題された新たな研究論文に掲載されています。
Web 閲覧履歴を悪意のある人物から確実に保護したい場合は、履歴ハイジャックがどのように行われるか、またそれを防ぐ方法についてお読みください。
歴史の嗅ぎ分け
CSSは、Webページのレイアウトを構成する多くの要素を制御するWeb開発言語であり、Web開発者の間で広く利用されています。CSSのプロパティの一つに「a:visited」プロパティがあります。このプロパティは、訪問済みのWebリンクを、訪問していないリンク(通常は青)とは異なる色(通常は紫)で表示します。これらのプロパティはブラウザに保存され、Web上で表示されるすべてのリンクに適切な色で表示されます。
履歴ハイジャッカーがユーザーのアクセス履歴を把握するために行うのは、WebページにAmazon、Twitter、Facebookなどのサードパーティサイトへの目に見えないWebリンクを隠すことです。そして、スパイサイトはJavaScriptコードスニペットを使って、隠されたリンクの色をブラウザから取得します。これさえ済めば、ブラウザがアクセスしたサイトとアクセスしていないサイトのリストを作成するのは非常に簡単です。
誰が追跡しているのか
研究者らは、485のサイトが履歴スニッフィングの脆弱性を悪用していることを発見しましたが、そのうち46のサイトはユーザーの閲覧履歴を積極的にダウンロードしていました。また、さらに17のサイト(合計63)がユーザーの閲覧履歴を自社のネットワークに転送していることも発見しましたが、収集した情報を使用しているかどうかは確認できませんでした。カリフォルニア大学サンディエゴ校の研究者らによると、ほとんどのサイトはスタイルプロパティの検査のみを行っており、それ以上のことは行っていないとのことです。
研究者の調査結果を読むと、各サイトがいかに多くの隠しリンクを使用しているかに驚かされます。問題となっている46サイトのうち、Gamestorrents.com、FullTono.com、PetitChef.comなど約18サイトが、この脆弱性を利用して220以上のサイトへの過去の訪問履歴を分析しています。また、アマチュアポルノサイトで、ウェブ上で最もアクセス数の多い100サイトの一つであるYouPorn.comは、21以上のサイトの閲覧履歴を分析していると研究者は述べています。
履歴スニッフィング自体は目新しいものではありませんが、カリフォルニア大学サンディエゴ校の調査は、この脆弱性がどれほど蔓延しているかを示しています。研究者らによると、TealiumやBeencounterといった一部のWeb分析企業が、顧客に履歴スニッフィングサービスを提供しているというのです。
歴史を嗅ぎ分けることの意味
閲覧履歴が悪意ある目的に利用されるかもしれないという不安に駆られてしまうのはよくあることです。例えば、サイトが収集した閲覧履歴やその他の情報に基づいて、あなたのプロフィールが作成される可能性も考えられます。
しかし、一部のウェブ開発者は、履歴スニッフィングには、実際にはブラウジング体験を向上させる、より無害な用途もあると主張しています。ブロガー兼ウェブ開発者のNiall Kennedy氏は、履歴スニッフィングを利用することで、ユーザーがどのソーシャルネットワーキングサイトにアクセスしたかを特定し、特定のサイトに対してのみ「共有」ボタンや「いいね!」ボタンを表示できると指摘しています。他にも、世界中のRSSリーダーのリンクを表示する代わりに、Google ReaderやNetvibesなどのお気に入りのブログアグリゲーションサービスに誘導するといった用途があります。また、「地図を表示」リンクをクリックした際に、GoogleマップやMapQuestなど、ユーザーが利用する可能性の高い地図サービスを表示するといった用途もあります。
しかし、ウェブサイトがこのように特定の方法でユーザーをターゲットにすることは、Google CEO の Eric Schmidt 氏が言うように、「不気味な一線を越える」可能性があることに疑いの余地はありません。
履歴の盗聴や乗っ取りを防ぎたい場合、いくつかの対策があります。Google Chrome、Apple Safari、Mozilla Firefoxなど、多くの最新ブラウザは履歴の盗聴を防御できます。Internet Explorerも、プライベートブラウジングモードを使用することで、この攻撃を防御できる場合があります。万全の保護対策を講じたい場合は、Firefoxブラウザのアドオン「NoScript」を使用することもできます。NoScriptは、ブラウザ内でのJavaScript実行をブロックします。Firefoxユーザーは、ブラウザのabout:configファイルを編集することで、CSSでアクセスしたリンクを無効にすることもできます。
カリフォルニア大学サンディエゴ校の研究者たちは、履歴スニッフィングに加え、YouTubeやハフィントン・ポストなどの主要サイトがスクリプトを用いてマウスポインタの動きを追跡している様子も調査しました。研究の全文はこちらでご覧いただけます。
最新のテクノロジー ニュースと分析については、Twitter で Ian Paul (@ianpaul) および Today@PCWorld をフォローしてください。
