MSのPhishing Filterがプライバシー問題をクリア――監査機関が確認

IE 7とMSN Toolbarに組み込まれる新しい「Phishing Filter」に対し、第三者機関が監査した結果、同技術がユーザーのプライバシーという重要な問題をクリアしていることが認められたという。

[Ryan Naraine，eWEEK]

　Internet Explorer 7（IE 7）ブラウザとMSN Toolbarに組み込まれる新しい「Phishing Filter」に対する第三者機関による監査の結果、同技術がユーザーのプライバシーという重要な問題をクリアしていることが認められた。

　IT監査機関のJefferson Wells Internationalは、「Phishing Filterは、個人を特定できる情報を、ユーザーの明確な同意なしに送信することはなく、またユーザーのブラウザから送信されたURL情報から、そのユーザーの個人情報をたどることはできない」とするMicrosoftの保証に間違いがないことを確認した。

　プライバシー問題をクリアしたことは、全面的なセキュリティオーバーホール版としてIE 7を売り込もうとするMicrosoftにとって追い風になる。IE 7では、なりすましやドライブバイ（自動）ダウンロード型のスパイウェア、トロイの木馬のインストールなどを防止する機能を備える。

　Microsoftは以前から、Phishing Filter技術は、ユーザーのプライバシーを危険にさらすものではないと主張してきた。しかし同技術は、認証チェックのためにMicrosoftのWebサービスにデータを送信するメカニズムを使用するため、Microsoftでは第三者の監査機関に同社の主張を確認してもらう必要があると感じていた。

　MicrosoftでIEセキュリティを担当する主任プログラムマネジャー、ロブ・フランコ氏は、「われわれは監査人たちに、この技術および技術チームを詳細に調査してもらった。彼らは技術を研究し、技術チームに聞き取り調査を行った後、ユーザーのプライバシー保護に関するわれわれの主張が真実かつ正確であることを認めた」と話している。

　フランコ氏は、監査結果について述べたブログ記事の中で、「Microsoftは定期的に監査を実施する予定だ。そうすれば、Webサービスが変更された場合でも、ユーザーのプライバシーが保護されていることを保証できる」と述べている。

　MSN ToolbarへのPhishing Filterの実装では、既知のフィッシング詐欺サイトにおびき寄せられたIEユーザーは、そのサイトに個人情報を入力することが自動的に禁止される。この機能ではクライアント側のホワイトリストを使用する。

　IE 7でPhishing Filterが有効になっていれば、クライアント側のホワイトリストに載っていないURLをユーザーが訪問すると、そのURLはMicrosoftのサーバに送られてチェックされる。MSN Toolbarのアドインの場合、このサービスは不審なWebサイトに対する「早期警戒システム」としての役割を果たし、色分けされた2段階の警告を行う。

　データの送信方法の詳細は不明だが、Jefferson Wells Internationalの監査によると、判定を行うためにPhishing Filterクライアントによって送信されるHTTP／Secure HTTPのURLは、ドメインとパスだけに限定されている。「URLに含まれるそのほかの情報はすべて取り除かれる」と同社幹部は語る。

　Jefferson Wellsでは、Phishing FilterクライアントがURLを送信するのは、ユーザーがURLに関するフィードバックを手動で提供することを望んだ場合、URLがPhishing Filterのローカルデータファイル内に存在しない場合、そしてPhishing Filterクライアントのヒューリスティック機能が不審なサイトと判断した場合に限られることを確認した。

　Jefferson Wellsによると、Phishing FilterクライアントによるURL情報の送信はすべて、インターネット上でSSLを通じて行われるという。

原文へのリンク