2017年12月7日

Webサイトはすべてを見ている

ニュース プライバシー

インターネット上の巨大Webサイトの中には、サードパーティのソフトウェアを使って、訪問者がそのサイト内で行ったすべての操作(入力、クリック、スクロールなど)を追跡しているところがあります。

オンラインのプライバシーやセキュリティを気にする人なら、Webサイトがページの閲覧や検索などの操作を追跡していることはご存知だと思います。Kaspersky DailyでもWebサイトによる訪問者の追跡について取り上げたことがありますし、インターネット広告の仕組みをわかりやすく説明した記事も掲載しました。この手の話はおなかいっぱいだ、という人も、追跡の範囲や深さを知れば心穏やかでいられないかもしれません。アクセス数の多いWebサイトで使用されているセッションリプレイスクリプト(英語)の実態が、新たな調査によって明らかになりました。セッションリプレイとは、サイトを閲覧している人の具体的な操作を追跡し、再生することです。

セッションリプレイスクリプトを利用するサイトでは、Webサイトを見ている人が入力した内容、マウスを置いた場所、クリックした部分を逐一記録しています。一種のキーロガーのようなものです。パフォーマンス診断の観点から見れば、理にかなっている部分もあります。数十万ページからなるWebサイトを運営しているなら、訪問者がどのような操作をしているか、壊れているページや適切に機能していないページはないか、といったことを把握する必要があります。

しかし問題は、セッションリプレイスクリプトがWebサイト作成者にとって必ずしも必要でない情報を大量に追跡可能であり、集められた情報に第三者がアクセス可能であることです。この問題を調査したプリンストン大学の研究者グループ(英語記事)は、次のように述べています。「サードパーティ製のリプレイスクリプトによるページコンテンツ収集の結果、ページに表示された医療情報やクレジットカード情報やその他個人情報といった機密情報が、記録の一部としてサードパーティに漏洩する恐れがある。このため、(サイトを訪問した)人々がなりすましやオンライン詐欺ほか望ましくない行為の標的になりかねない」

この手のリプレイスクリプトによる記録と再生は、インターネットの利用中に「誰かが背後から画面を覗くようなものだ」と同グループは指摘しています。以下の動画は、その感じがよくわかると思います。

こういった記録の中には、万一漏洩したならば(というより「漏洩したときは」というべきでしょうか)、危ないことになりかねない情報も含まれます。調査報告によると、以下の情報が記録されます。

  • 入力されたパスワード。調査対象のWebサイトでは、入力されたパスワードを記録から除外する措置が講じられていましたが完璧ではなく、モバイル版サイトでは十分に機能していませんでした。
  • クレジットカード番号や生年月日といった個人情報。
  • テキストボックスに入力されたデータ。入力データを送信する前、つまり[検索]や[送信]をクリックしたりEnterキーを押したりする前の段階で記録されます。

では、このような追跡をさせないようにするにはどうすればいいのでしょうか?当社の主力製品であるカスペルスキー インターネット セキュリティカスペルスキー セキュリティのWindows対応プログラム)は、セッションリプレイスクリプトをはじめ多くの追跡用ツールをブロックします。当社ではこの機能をWebトラッキング防止と呼んでいます。オンラインプライバシーを重視する方は、ぜひこの機能をお試しください。