海の向こうの“セキュリティ”

第45回:「無線LAN設置者にパスワード設定の義務あり」ドイツで判決 ほか


CSSのvisitedでブラウザーの訪問履歴取得

 Webブラウザーの訪問履歴から個人情報が漏れる可能性があることは、かねてから指摘されています。事実、訪問履歴から利用者の趣味嗜好を推測し、それに合わせて広告を表示させるといったサイトも存在しています。

 これらは主に、あらかじめ用意したURLが訪問済みか否かをCSS(Cascading Style Sheets)のvisitedを使って判定するという手法を使っています。

 このような中、ブラウザーの訪問履歴からの情報漏えい問題に取り組んでいるWeb開発者およびセキュリティの研究者らによるグループが、ある調査結果を発表しました。

 このグループによるプロジェクト「What The Internet Knows About You」では、既存の履歴検知手法に比べ、6倍速い手法を開発。現在の一般的なパソコン上で動作するブラウザーで、1秒あたり3万ものURLについて訪問済みか否かを調べることが可能としています。

 今回の調査は、この手法を用いて履歴を検知するサイトに、プロジェクトの協力者にアクセスしてもらうことで、実際にどのような、また、どれくらいのリスクがあるのかを調べるというものです。

 調査期間は2009年9月から2010年2月。調査対象になったユーザーの数は27万1576人で、実行された調査テストは70万3895回(1ユーザーあたり2.59回)。

 調査結果によると、対象ユーザーのうち少なくとも76%が脆弱、すなわち訪問履歴を読みとられてしまう状態にあったそうです。ただし、あらかじめ用意したURLに対して訪問済みか否かを調べる手法ですので、それらのURLの中に訪問済みのものがなければ、当然ながら検知はできません。今回の調査であらかじめ用意されたURLは「最も人気のあるサイト」として約5000個が標準設定として選ばれています。

 ブラウザー別による調査結果では、SafariとGoogle Chromeが他のブラウザーに比べて脆弱であり、それぞれ82%と94%が脆弱だったそうです。

 また、今回の調査で注目すべきは、訪問履歴を検知されなくするための防御策としてJavaScriptを無効にする方法に全く意味がないという点です。検知方法はJavaScriptを使わず、CSSのみで実現している(ものもある)ので、例えばFirefoxのNoScriptプラグインなどを使ってJavaScriptを無効にしても訪問履歴は検知できてしまうのです。実際、JavaScriptを無効にしているブラウザーにおいても77%が脆弱な状態にあったそうです。

 さらに、今回の調査手法を使えば、フォームから入力された郵便番号や検索文字列などの機微な情報も検知できてしまうこともわかりました。実際の調査では、米国の郵便番号であれば、ユーザーの9.2%が検知できたそうです。また、GoogleやBingでの検索文字列については、あらかじめ用意した1万弱のキーワードに対して、ユーザーの0.2%が検知できたそうです。これはターゲットを絞り、巧くキーワードを用意すれば、より機微な情報を取得することが可能になることを示しています。

 以前から指摘されていた問題に対して具体的に調査した結果は興味深いですが、注意しなければならないのは、あくまでこのプロジェクトに協力し、調査サイトにアクセスしたユーザーだけが調査対象になっているということ。つまり、この問題に対してある程度意識のある人が対象であり、今回の調査で得られた数字がそのまま一般ユーザーに当てはまるわけではないということです。もちろん、一般を対象にした場合には、この調査でわかった数字よりももっと多くのユーザーが脆弱な状態にあると考えるべきでしょうが、その具体的な数字は今回の実験からはわかりようがありません。

 なお、訪問履歴を検知されなくする方法は、このプロジェクトのサイトでも紹介されています。いくつかの方法が紹介されていますが、基本的には 、1)訪問履歴を残さない、または、2)CSSのvisitedを無効にするといった方法に集約されます。既に述べたようにJavaScriptを無効にしても解決にはなりません。

Real-world Web browser history detection results
 (What The Internet Knows About You)

http://static.whattheinternetknowsaboutyou.com/results.html

Feasibility and Real-World Implications of Web Browser History Detection(PDF)
http://w2spconf.com/2010/papers/p26.pdf

Tips for users(What The Internet Knows About You)
http://wtikay.com/docs/solutions.html

CSSによるブラウザ履歴の漏えいを防ぐ取り組み(Mozilla Japan ブログ)
http://mozilla.jp/blog/entry/5421/

CSSの:visitedに行われるプライバシー対策(Mozilla Developer Street)
https://dev.mozilla.jp/hacksmozillaorg/privacy-related-changes-coming-to-css-vistited/

スウェーデンの海賊党、The Pirate Bayにホスティング支援

 昨年6月に行われた欧州議会選挙で初めて議席を確保したスウェーデンの政党「Pirate Party」(「海賊党」とも呼ばれる)が物議を醸す行動を起こしました。

 Pirate Partyは2006年に結党した政党で、著作権法の根本的改正や特許システムの廃絶、非商用利用目的の複製自由化、ファイル共有の促進、プライバシー権の強化などを目的としています。スウェーデン国内では昨年、The Pirate Bayに関する一連の裁判等をきっかけに急激に支持者を増やしました。

 この、ある意味「過激な」政党は、これまでもThe Pirate Bayを支持していましたが、今回、ドイツのISPがThe Pirate Bayに提供していたホスティングサービスを取りやめ、サイトが停止してしまったことを受け、The Pirate Bayに対してホスティングを提供し、数時間後にサイトを復活させたのです。

 この件に関し、Pirate Partyは「The Pirate Bayのサイトは単なる検索ページであり、その検索結果の内容に責任はない」としています。また「The Pirate Bayを停止することは、インターネットにおける市民の自由や権利に関する重要なオピニオンリーダーの口を封じることであり、民主主義的観点から容認はできない」と主張しています。

 今回のPirate Partyのアクションは、それ自体の是非はともかく、党の宣伝としてはかなり効果があったのではないでしょうか。

Pirate Partyの2010年5月18日付発表資料(スウェーデン語)
http://press.piratpartiet.se/2010/05/18/piratpartiet-levererar-pirate-bays-bandbredd/

「無線LAN設置者にパスワード設定の義務あり」ドイツで判決

 Googleがストリートビュー用の写真を撮影中に、暗号化されていない無線LANの情報から「誤って」個人情報を収集していたことが報道され、大きく取り上げられましたが、これにも関連しそうな話題です。

 ドイツの最高刑事裁判所は5月12日、インターネット利用者に対し、個人的に設置している無線LANを第三者による違法なダウンロードに悪用されないように、パスワードを設定することを義務付ける判決を下しました。

 判決の中で、パスワード保護されていない無線LANを、第三者による音楽ファイルなどの違法ダウンロードに悪用された場合、最高で100ユーロ(約1万1000円)の罰金が科せられるとしています。

 この判決は、ある音楽家が、自身の著作物である楽曲が違法にダウンロードされた際に使われた無線LANの所有者を訴えたことを受けてのもの。当該無線LAN所有者は、違法ダウンロードが行われた際には休暇中で不在だったそうですが、裁判所は、無線LAN所有者には第三者による悪用を防ぐ義務があるとした上で、その義務を怠ったと認定したわけです。ただし、裁判所が認定したのは、無線LANにパスワードを設定せずに第三者による悪用を許してしまったことのみであり、著作権侵害についての責任は認定していません。

 これはなかなか画期的な判決です。これまでも個人設置の無線LANアクセスポイントにパスワードが設定されていなかったために、それがスパムメールの送信に悪用されるなどの事例が多々ありました。この判決が前例となり、無線LANにパスワードを設定する人が増えることが大いに期待されます。もちろん、現実にはパスワードを設定していれば100%安全というわけではありませんし、逆にパスワードを設定していれば他には何もしなくても良いという誤解や思い込みを生む危険性もないではありません。それでも「パスワードを設定する」という基本中の基本のセキュリティ対策が実施されるようになるだけでも、これまでと比較すれば格段の進歩と言えるでしょう。

 しかし、今回の事例はともかく、一般的な話として一方的に無線LAN設置者にパスワード設定の責任を負わせるのは現実的に少々無理があります。無線LAN機器のメーカーも、設置者によるパスワード設定を、よりわかりやすく容易にするインターフェイスを提供する工夫が必要でしょう。場合によっては、パスワードを設定しなければ使用できなくする、または警告を発するといった仕様にしても良いかもしれません。これはこれで別の問題をいろいろと生みそうですが(苦笑)。

 ところで今回のドイツの判決で無線LAN設置者の義務とされたのはパスワード設定のみ。つまり、無線LAN機器の脆弱性を修正するための更新作業は義務付けていません。現時点では致し方ないと言えますが、これから数年のうちに、今度は「脆弱性を修正するための更新作業」を義務付けるような状況になる可能性も十分にあります。当然のことながら法制化の動きも出てくるでしょう。今後も同様の動きについて注意深く見守る必要がありそうです。

German court orders wireless passwords for all
 (「msnbc.com」2010年5月12日付記事)

http://www.msnbc.msn.com/id/37107291/ns/technology_and_science-security/


2010/6/2 06:00


山賀 正人
セキュリティ専門のライター、翻訳家。特に最近はインシデント対応のための組織体制整備に関するドキュメントを中心に執筆中。JPCERT/CC専門委員。日本シーサート協議会専門委員。