入力中の個人情報が“送信ボタンを押す前に”収集されている問題 約10万のWebサイトを調査:Innovative Tech
ベルギーのKU Leuven、オランダのRadboud University、スイスのUniversity of Lausanneによる研究チームがは、まだ送信していないのにもかかわらず、オンラインフォームで入力した個人情報が打ち込んだだけで収集されている問題を調査した論文を発表した。
Innovative Tech:
このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。
ベルギーのKU Leuven、オランダのRadboud University、スイスのUniversity of Lausanneによる研究チームが発表した「Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission」は、まだ送信していないのにもかかわらず、オンラインフォームで入力した個人情報(今回は電子メールアドレスとパスワード)が打ち込んだだけで収集されている問題を調査した論文だ。
サインインやサービスへの登録、ニュースレターの購読など、さまざまな理由でオンラインフォームに個人情報を入力する。このようなWeb上で個人情報を登録する際に、最後の送信ボタンや登録ボタンをクリックするまでは相手に知られていないと思っていないだろうか。
驚くべきことに、多くのWebサイトが送信ボタンを押していないのにもかかわらず、データの一部または全部を収集しているという。ユーザーが考えを変えてフォームを送信せずにサイトを去った場合でも、サードパーティーによって収集されているわけだ。キーボードへの入力を記録するキーロガーに類似すると指摘している。
そこで研究チームは、フォーム送信前に入力した情報が収集されているかを測定するために、独自のクローラーを開発した。クローラーには、事前学習させた機械学習の分類器を適用することで、電子メールアドレスとパスワードを強固に検出できるようにした。
このクローラーを用い、上位10万件のWebサイト(280万ページ)をクロールした。ユーザーが欧州にいるときにWebサイトを訪れた場合と米国からWebサイトを訪れた場合の2つのシナリオを検討した。
その結果、1844のWebサイトが欧州のユーザーの電子メールアドレスを同意なしに収集していたこと、2950のWebサイトが米国のユーザーの電子メールアドレスを記録していたことが判明した。また送信前のパスワードデータを収集しているサイトは52件見つかった。
研究チームは、パスワードを収集していたサイトに対してこれら調査結果を開示した。ロシアの検索大手「Yandex」に調査結果を開示したところ、迅速に対応しパスワード収集を防止する修正プログラムを展開した。
分析ツールの「Mixpanel」は、調査結果を知ってからわずか2日後にアップデートをリリースした。その後、他の企業にも情報開示を行い、パスワード漏えいサイト52件全てが解決された。このようにある程度の期間を経て改善されたことから、パスワードの収集は偶発的に行われていたのではないかと、研究チームは推測している。
論文を書き上げた後、Meta PixelとTikTok Pixelについても調査した結果、送信前にハッシュ化された電子メールアドレスを取得していることが分かった。Meta Pixelについては、米国ユーザーで8438サイト、欧州ユーザーで7379サイトが取得していた。TikTok Pixelについては、米国ユーザーで154サイト、欧州ユーザーで147サイトが取得していた。
以上の調査結果から、送信前にフォームのデータを削除するだけでは、全ての収集から身を守るには不十分であると分かった。対策として研究チームは、個人データの漏えいを警告および保護するFirefoxアドオン「LeakInspector」を開発した。
このアドオンを利用することで、ユーザーが知らないうちに同意なしにオンラインフォームから個人情報を収集するサードパーティーを監査できるという。
Source and Image Credits: Asuman Senol, Gunes Acar, and Mathias Humbert “Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission”
関連記事
- “スマホのマイクでこっそり盗聴”を妨害する技術 静かな音で会話内容を改ざん
米コロンビア大学の研究チームは、不正なマイクが取得したユーザーの会話の言葉を正しく聞き取れないようにする攻撃を提案した論文を発表した。 - ビデオ会議中、マイクが“ミュート”でも音が取得されている問題 米国チームが検証
米University of Wisconsin-Madisonと米Loyola University Chicagoの研究チームは、一般的なビデオ会議アプリにおいて、マイクをミュートにしている状態であっても音を取得できる可能性を指摘した論文を発表した。 - Appleの「ATT」は本当にユーザーのプライバシーを守れているのか? 英オックスフォード大が指摘
英オックスフォード大学の研究チームは、ユーザーのプライバシー保護を目的としたAppleの2つの機能「App Tracking Transparency」(ATT)と「Privacy Nutrition Labels」が効果的に役割を果たしているかを調査した論文を発表した。 - 腕に貼った電子パッチで「酒の飲みすぎ」「筋肉疲労」「血糖値」などを監視 測定結果はスマホで確認
米カリフォルニア大学サンディエゴ校の研究チームは、血糖値やアルコールの摂取量、運動中の筋肉疲労の記録などを計測できる腕に貼るウェアラブル小型デバイスを開発した。 - 体内のブドウ糖を電気に変える埋め込み式薄型電池 米MITなどが開発
米マサチューセッツ工科大学(MIT)とドイツのミュンヘン工科大学の研究チームは、体内のブドウ糖(グルコース)を直接電気に変換できる埋め込み式の薄型ブドウ糖燃料電池を開発した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.