広告が表示されるログインページは安全ではないのか？

by PhotoMIX-Company

さまざまなウェブサイトでユーザーの行動が追跡され、個人情報が流出するリスクは常に存在します。ウェブ広告はJavaScriptを使うことでユーザーの行動を追跡することが可能になりますが、ログインページに広告が表示されていた場合、個人情報が奪われないようにする方法はあるのか？という問いかけが掲示板・Information Security Stack Exchangeに投稿され話題になっています。

web application - Can ads on a page read my password? - Information Security Stack Exchangehttps://security.stackexchange.com/questions/214784/can-ads-on-a-page-read-my-password

2019年6月、Google Chromeの開発者であるGregg Man氏がプログラミングのコミュニティ「StackOverflow」上の広告にユーザーの行動を追跡するJavaScriptが使われていることを発見しました。

Man氏はデベロッパーツールを開いており、「AudioContextは許可されていません」というデバッグメッセージと共にオーディオが呼び出されようとしたことに気づいたとのこと。不審に思ったMan氏が調査を行ったところ、スクリプトはオーディオを開始するものではなく、ユーザーのコンピューターがフィンガープリントを作るためのAPIを呼び出すものでした。これにより、例えユーザーがCookieをブロックしていても広告サーバーがユーザーを追跡することが可能になります。

Sneaky fingerprinting script in Microsoft ad slips onto StackOverflow, against site policy • The Register
https://www.theregister.co.uk/2019/06/27/sneaky_fingerprinting_microsoft_ad_sneaks_onto_stackoverflow_against_site_policy/

このように、ユーザーがプライバシーに対してどのような考えを持っているかに関わらず、広告配信者は多くの場合、自由に行動できます。ユーザーがどのキーを押したかを読み取るJavaScriptも存在することから、デベロッパーのscohe001さんは「広告が表示されているウェブページのヘッダーにユーザー名・パスワードを入力するテキストボックスがある場合、広告がキーストロークを読み取るのを防ぐ方法はありますか？」「ログインページに広告があったらページは資格情報を入力するほどの安全性はないと考えてよいのでしょうか？」とInformation Security Stack Exchangeに投稿しました。

これに対してWEBEDIAの開発者であるブノワ・エスナード氏は「広告によるパスワード読み取りを妨ぐものは何もありません」と回答。広告はJavaScriptを通じて財務情報・パスワード・CSRFトークンといったものを読みとることが可能。ただし、サンドボックス化されたiframeに関してはその限りではないと述べました。

サンドボックス化されたiframeはJavaScriptスコープにセキュリティ制限を行うことが可能であり、広告がユーザーのプライバシーを侵害する行為ができなくなるとのこと。しかし、サードパーティのスクリプトが適切に動かなくなることがあるため、多くのウェブサイトはサンドボックス化されたiframeを使っていないとエスナード氏は述べました。

サードパーティのスクリプトがユーザーの個人情報をセキュリティ上の危険にさらす以上、ログインフォームや購入ページは独自オリジンのものを使うべきだとエスナードさんは述べています。広告側のオリジンで実行されているスクリプトは、保護されているオリジン上にあるものにアクセスできないという同一オリジンポリシーのメリットもあります。