「Firefox 59」でプライバシー保護機能を強化する「リファラの削減機能」の内容をMozillaが発表

By Thanh Nguyen

2018年3月13日にリリース予定のWebブラウザFirefox 59では、プライベートブラウジングモード中にリファラのURL(Referrer value)を一部削減する機能が実装される予定であることが2018年1月31日にMozillaセキュリティブログで発表されました。この機能により、Firefoxを使用しているユーザーがプライベートブラウジングモードのオン/オフを切り替えることで、ブラウジング中に知らせる情報先を自分で選択できる幅が広がり、ユーザーのプライバシー情報保護の強化が期待できます。

Preventing data leaks by stripping path information in HTTP Referrers | Mozilla Security Blog
https://blog.mozilla.org/security/2018/01/31/preventing-data-leaks-by-stripping-path-information-in-http-referrers/

このリファラのURLを一部削減する機能の実装は、2018年1月26日にMozillaブログで予告されていたもの。1万9000人のユーザーの行動調査を行い、今回の発表で具体化したということになります。Firefox 59ではプライベートブラウジングモード中にブラウジングすると、リファラとして送られるURLを削減し訪問したウェブページに埋め込まれたコンテンツとして接続した第三者サイトに流れる情報を減らすことが可能なので、プライバシー保護を強化できます。

Mozilla セキュリティブログには、電子フロンティア財団(EFF)が行ったHealthCare.govの個人情報がトラッキングによって流出したという調査報告に基づいた「リファラの流出を危険視する事例」と、その事例をもとに「Firefox 59を使用した場合に保護されるリファラ」の具体例が示されています。調査報告の内容はアメリカの政府医療系ウェブサイトのhealthcare.govを訪問した利用者の個人の健康データが、ブラウザに保存されるトラッキングCookieのdoubleclick.netが収集したリファラを介して漏れているというものです。以下のURLが収集されていたリファラです。

https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000

この事例で送信されたリファラのURLの一部には「age=40&」と記されていることからわかるように、healthcare.govの利用者の年齢は「40歳」だという情報が利用者が利用した覚えのないdoubleclick.net側に把握されることになります。同じように「smoker=1&」で喫煙者かどうか、「&zip=85601」で郵便番号が把握でき、そして「income=35000」でhealthcare.govの利用者の年収までもが把握されているということになります。

また、別の方法でのリファラの流出も懸念しており、Dropbox、facebookなどのウェブサイトで意図せずにリファラが漏れる事例や脆弱性が発覚しています。

MozillaはユーザーがFirefoxを使用中は前述したようなリファラの流出を防ぐために、「プライベートブラウジングモードでのリファラの送信情報を変更する」とセキュリティブログに記しています。Firefox 59から実装されるリファラ削減機能は、前述した事例のような第三者サイトに送るリファラの情報を削減します。なお、リファラの削減方法はIEの設定strict-origin-when-cross-originという「httpsウェブサイトからhttpウェブサイトに移動する時はリファラを送信しない」という値の使用時に近くなります。

例えば、リリース予定のFirefox 59でブライベートブラウジング中は、healthcare.govを利用すると個人情報が入ったリファラのURLが……

https://www.healthcare.gov/see-plans/85601/results/?county=04019&age=40&smoker=1&pregnant=1&zip=85601&state=AZ&income=35000

以下のように削減されます。

https://healthcare.gov/

このようにFirefox59ではユーザーがプライベートブラウジングモードを選ぶことにより、訪れたウェブサイトでない第三者サイトにリファラの送信を防ぐようになります。Mozillaはこの変更について、利用者が使うウェブサイトの利便性に影響を及ぼさないと確信した上で適用したと発表しています。

Mozillaはウェブサイトのシステムベンダーとウェブサイト運営者に対し、ウェブサイトのプライバシーとセキュリティそして機能性を改善を促すように勧告しています。また、2014年のWorld Wide Web Consortium(W3C)が表明したウェブとアプリケーションのセキュリティワーキンググループで行われたリファラの方針提言について、Mozillaはこの提言を危険視しておりベンダーとウェブサイト運営者によるリファラのコントロールを行える可能性を危惧しています。例えば、「リファラを送らない設定を通常の設定とする」効果の減退や、「HTTPSのウェブページでの情報をHTTPのウェブページに流させなくなる」とのこと。

Mozillaは、サイト運営者が故意にリファラを変更しているとし、以下を要求しています。

・Firefoxの通常モードとプライベートブラウジングモード問わずにウェブサイト側は制限した設定にすること
・ブラウザデフォルト設定よりリベラルなリファラ方針を打ち出すこと
・以上の要求を解消すると、ブラウザ側はウェブサイト運営側に敬意を表す

なお、MozillaはFirefoxを使用しているユーザーがデフォルト設定でリファラを変更できるオプションの方法を公開しています。これらのオプションの変更は、デフォルト状態のブラウザにおけるリファラポリシーとウェブサイト運営者におけるリファラポリシーを無効にし、そしてユーザの選択を最優先にさせることになるとのこと。

By Robert Couse-Baker

ウェブサイトからのトラッキングについては、ブラウザのプライバシーモードを無視してしまう「スーパークッキー」やその対策を実装したプライベートブラウジングモード搭載のFirefox 34.0.5など、いたちごっこのような状態です。「普段のブラウジングで第三者がどのくらい接続しているか実感できない」という人はFirefoxのアドオン「Firefox Lightbeam」をインストールすると、普段のブラウジングでどれぐらいの第三者サイトに自分のブラウザが接続してるかが実感できます。