ITmedia NEWS > STUDIO >
速報
» 2020年01月23日 10時19分 公開

AppleのサードパーティーCookie制限機能「ITP」の複数の欠陥をGoogleが指摘

AppleがSafariに搭載するクロスサイトトラッキング制限機能「ITP」に個人情報漏えいにつながる欠陥があったと、Googleが論文で指摘した。

[佐藤由紀子,ITmedia]

 米Googleの情報セキュリティエンジニアリングチームは1月22日(現地時間)、米AppleのSafariブラウザの「Intelligent Tracking Prevention」(ITP)にある個人情報の漏えいにつながる欠陥についての論文を公開(リンク先はPDF)した。

 itp 1 論文冒頭

 ITPは、2017年10月にSafariに搭載されたプライバシー機能。サードパーティーCookieによるクロスサイトトラッキングを制限する。Googleは、ITPのリストはユーザーがアクセスしたWebサイトに関する情報を暗黙的に保存するためアクセス可能になっていたことや、攻撃者がフィンガープリントを作成できる欠陥があったと指摘する。セキュリティ研究者のルカス・オルジェニク氏はこの論文を高く評価し「これは非常に深刻なセキュリティおよびプライバシー上のバグだ」とツイートした。同氏は「プライバシー機能にあるプライバシーバグは思いがけないものだ」ともツイートした。

 Appleは昨年12月、ITPの機能強化を発表する公式ブログで、「ITPでの悪用で起こりうることに関する報告を送ってくれたことに対し、Googleに感謝する」としているが、ITPに欠陥があったとは書いていない。

 itp 2 Appleは昨年12月に公開したブログでGoogleに謝辞を送った

 Googleは論文で、「(Appleの)SafariチームがWebのプライバシーを改善すると確信し、彼らの継続中の取り組みを賞賛する」としている。

 GoogleのChromeチームのディレクター、ジャスティン・シュー氏はオルジェニク氏のツイートのスレッドに、Appleは問題を解決したとしているが、まだ根本的な解決はできていないはずだとコメントした。ITPと同様のクロスサイトトラッキング制限の欠陥はChromeの「XSS Auditor」でも確認できたため、問題のある部分のコードを削除せざるを得なかったという。「これはITPにとって重要な部分なので、Appleがどうするつもりなのか私には分からない」とシュー氏はツイートした。

 GoogleはサードパーティーCookieを制限するChrome以外のWebブラウザの方針に懸念を表明しており、ChromeではサードパーティーCookieに代わる技術を提供する計画を発表した。

Copyright © ITmedia, Inc. All Rights Reserved.