見出し画像

OS標準じゃないウェブブラウザを使うことは覚悟が要るよという話

西窪 洋平

概論と結論

最近、某ウェブブラウザアプリが問題になって、サービス停止となったようですが、ウェブブラウザにおけるセキュリティについての深刻さがあまり共有されていないようなので、あくまで一般論としてまとめておきます。

まずは概論ですが、SSLに代表されるインターネットのセキュリティ技術は基本的に通信経路の安全のみを対象としています。ウェブブラウザは経路の利用者側の終末なので、そこから先の情報の安全性はウェブブラウザの開発者に全て委ねられます。

ウェブブラウザの開発者の内心など分かり得ないので、ご自分が技術に疎いと思われる方であれば、OS標準以外のブラウザソフトは使わないという考え方で間違いないかと思われます

(同じ構造の逆側の話で、DNS設定も気をつけないといけないのですが、長くなるのでここでは説明しません)

以下、FAQ形式で進めます。

SSLで守られているので大丈夫でしょう?

前述の通り、SSLは通信経路の安全だけを対象とした技術です。ウェブブラウザアプリ側では基本的にウェブブラウザ上であなたが読み書きしている情報全てを読み取ることが可能なので、大丈夫じゃないです。

パスワードは自分にも見えていないから大丈夫?

多くの場合、ウェブブラウザ上でパスワードは「●●●」というかたちで表示されますが、ウェブブラウザアプリ側からは元々のパスワードを読み取り可能なので、大丈夫じゃないです。

開発者のことを信頼しているから大丈夫でしょう?

そもそも開発者の内心は知り得ないことや変化するかもしれないこと、さらには許容し得ないことのハードルが異なる可能性があること、等々、信頼という概念に問題があることを捨象したとしても、開発主体が組織化し、その開発者以外の人物が携わるようになった時点で、感情の産物としての信頼はほぼ担保されないと見ていいでしょう。答えは大丈夫じゃないと思います。

そんな危険なアプリをAppleやGoogleはなんで配信許可しているの?

規約の観点から言えば、「個人情報は収集するけど、規約は守ります」と宣言されてしまうと、AppleにしてもGoogleにしても、第三者のサーバ内のコードや得られた情報の運用をチェックすることは不可能なので、違反する事実が露見しない限り、積極的に配信停止することは不可能です。

ただし、法制度の観点から言えば、アウトかなという印象です。話題になっているアプリは欧州でも配信されていましたが、プライバシーポリシーを読む限り、EUが定めるGDPR(一般データ保護規制)に違反している可能性が高いという印象です。もし違反していた場合、制裁金の最低額20百万ユーロ(現在のレートで約25億円です。大事なことなので繰り返しますが、最低額です。「制裁金たっか」と思われるかもしれませんが、今回のような行為が如何に有害であるかということを知らしめ、その抑止を行うために妥当な金額であるとの判断かと思われます。

なんでこういうことをするの?

儲かるからです。

話題になったアプリは閲覧中のウェブページに自社が収益を得られるかたちで広告枠を挿入していたと聞いています。仮にアプリが100万人の月間アクティブユーザーを保有していて、その人達が1日平均20ページ閲覧したとしましょう。

1,000,000 x 20 x 30 = 600,000,000

単純計算で月間6億ページビューの巨大メディアの誕生となるわけです。

(RPM10円としても月間600万円に過ぎないので、エクイティ・ファイナンスした法人の売上と考えると微妙かとは思います)

ただ、このようなかたちでウェブページの内容を外部から改変することは禁じ手中の禁じ手とされています。金儲け云々の話もあるのですが、情報の改竄に繋がるためです。技術的な一般論としては、Gmailなどで閲覧しているメールの文言を改変することさえも可能となります。

件のアプリはGoogle検索もカスタムで提供していたと聞いています。
例えば、あなたが「自動車保険」と検索して上部の広告をクリックしたとします。すると件のアプリ配信者に数百円から1千円程度のレベニューシェアがGoogleに支払われることとなります。
ただ、こちらは入力された検索語の窃取などが行われない限り、規約的にも法的にも基本的に問題はありません。

ウェブブラウザ機能って色んなアプリに付いているけど、大丈夫なの?

はい。TwitterにもFacebookにもウェブブラウザ機能は付いています。ただし、ここまで書いてきたような閲覧コンテンツの読み取りや改変は不可能となっているので、大丈夫です。

AppleもGoogleも前述のような問題は認識していて、読み取りや改変が出来ない機能(SFSafariViewController/iOS、Chrome Custom Tabs/Android)を開発者向けに提供しています。

ただ、見分け方については、読み取りや改変が出来る方の機能を使って似せることができるので、何とも言いづらい点が難点ではあります。

問題を指摘されたウェブブラウザって使い続けていいの?

ここまで書いてきたことは、あくまで一般論で直接は関係ないですし、最終的には自己責任とはなるのですが、以下のようにアプリの配信会社とは無関係の悪意あるウェブサイトから個人情報を窃取される可能性がありますので、アンインストールした方がいいのではないかという印象です。
正確には指摘の問題は12月20日に配信されたバージョンで修正されているようなのですが、アップデートできていない方も多そうなことと、他の脆弱性が存在する可能性も否定できないため、個人的な結論は前述のとおりです。

https://gist.github.com/mala/f443d5d0ba1b46137684e555ade08098

いいなと思ったら応援しよう!