使用しているブラウザ拡張機能に基づいて、あなたのプロファイルが作成される可能性があることをご存知でしたか?広告主は、どの拡張機能がインストールされているかを検知し、その情報を利用して、あなたがどのようなユーザーなのかを把握することができます。
例えば、定価で買うことなど決してない、賢いオンラインショッピングの達人だと自負していませんか? ウェブ上で有効なプロモーションコードを探し出すショッピング用拡張機能を使っているかもしれません。あるいは、オンラインツールを開発している開発者ですか? サイトのパフォーマンスを監査したり、アクセシビリティを確認したり、ページの要素を検査したりするために拡張機能を使っているかもしれません。 あるいは、生産性を重視する方でしょうか?その場合、タブ管理、コンテンツの要約、あるいは時間指定タスクの追跡を行う拡張機能を利用していることでしょう。
広告主は、あなたのブラウザ拡張機能に関心を寄せています。なぜなら、それらはあなたがどのような層に属し、何を購入する可能性が高いかを明らかにするからです。しかし、注目しているのは広告主だけではありません。ネット上にあなたに関するデータが増えれば増えるほど、詐欺師や個人情報窃盗犯、ストーカーがそれを悪用する機会も増えるのです。
ウェブサイトが、あなたがインストールしたものを検知できれば、あなたが想像する以上にあなたのことを把握できてしまう可能性があります。
これは単なる仮定の話ではありません。最近の報告によると 、LinkedIn スクリプトを使用して訪問者のブラウザをLinkedIn 、6,Chrome 、そのデータをユーザーのプロフィールとLinkedIn ことが判明しました 。
そして今年初め、サイバー犯罪者たちが大手データブローカーであるGravy Analyticsへの侵入に成功した。同社は、スマートフォンの位置情報を大量に収集しているものの、あまり知られていない企業だ。同社は合法的にデータを収集しているものの、今回の侵害により極めて機密性の高い情報が流出しており、何百万人もの人々が危険にさらされた。
どのような拡張機能をプロファイリングできますか?
昨年、ある博士課程の学生グループが、特定のウェブサイトがブラウザ拡張機能を通じてユーザーを追跡する仕組みについて詳細に調査しました。ある学生は、1万件を超える拡張機能のリストを作成しました。彼らの調査結果によると、ブラウザの基盤となる技術に何らかの変更を加えない限り、拡張機能が自身を完全に隠蔽することは不可能であることが明らかになりました。
例えばBrowser Guard Malwarebytes Browser Guard 挙げましょう。このツールは、「このサイトは許可リストに含まれているか?」や「ユーザーに通知すべきセキュリティ上の事象が発生していないか?」といった事項を確認するために、内部で通信を行う必要があります。ブラウザの仕組み上、このメッセージングシステムはウェブページから完全に隔離されているわけではないため、監視される可能性があるのです。
「暗号化すれば解決するだろう」と思うかもしれませんが、そう単純な話ではありません。たった1つの拡張機能だけが特定の方法でデータを暗号化している場合、その動作自体が固有の指紋となってしまいます。
「Browser Guard にするための手法
とはいえ、広告主や詐欺師が「Browser Guard 」をインストールしていることを察知Browser Guard 本ツールにはさらなる対策を導入しました。Browser Guard 隠れた状態を維持することで、他者が知り得る情報をBrowser Guard 、彼らの対応を制限します。
ブラウザのストレージAPIの使用
ページに残されたデータは、どの拡張機能がインストールされているかを特定するために利用される可能性があります。Browser Guard 、ブラウザベンダーが提供する拡張機能ツールBrowser Guard 、こうした痕跡が残らないようにしています。
動的URLの使用
use_dynamic_url これは、ブラウザ拡張機能のマニフェストファイルで有効にできる設定です。
- Chrome Edgeでは、この設定はデフォルトでオフになっています。
- Firefoxでは、この動作がデフォルトで有効になっており、無効にする方法はありません。
では、これはフィンガープリンティングにとってどのような意味を持つのでしょうか?
以前は、ウェブサイトは拡張機能によって読み込まれる画像など、特定のリソースがあるかどうかを確認するだけで済みました。そのリソースが見つかった場合、その拡張機能がインストールされていることが判明しました。
しかし、動的URLはブラウジングセッションごとに新しい一意のIDを生成するため、サイトが同じ手法を試みると、その拡張機能が存在しないかのように見えてしまいます。
実際、この手法は、マシン上でどの広告ブロックツールが動作しているかを検知するために、一部のアンチ広告ブロックツールでも使用されていることが判明しています。
他のユーザーがあなたの拡張機能について確認できる情報(Chrome )
Chromeこの記事をご覧の方は、下のボタンをクリックして、公開されているリソースを使ってどの拡張機能が検出されるかを確認してください。これは、この記事で説明しているのと同じ手法です。
それでは、Chrome Browser Guard インストールして、プライバシーが守られる様子を確認してみてください。
