実はセーフでも何でもないという「セーフブラウジング機能」について専門家が解説

by Darwin Laganzon

ジョンズ・ホプキンズ大学のセキュリティ研究家で、暗号理論の専門家でもあるマシュー・グリーン氏が、「セーフブラウジング機能とは一体どんな機能で、何が問題なのか？」を詳しく解説しています。

How safe is Apple’s Safe Browsing? ? A Few Thoughts on Cryptographic Engineering
https://blog.cryptographyengineering.com/2019/10/13/dear-apple-safe-browsing-might-not-be-that-safe/

2019年10月にプライバシー関連情報専門のIT系メディアReclaim The Netが「iPhoneがSafariのセーフブラウジング機能を通じてデータを中国に送信している」と指摘。かねてから、AppleがiCloudのデータをアカウントの解除キーとともに中国に移管したことや、香港でのデモ活動に活用されていたアプリをApp Storeから削除したことが報じられていた背景もあり、中国政府に従順なAppleの姿勢を不安視していた一部のiOSユーザーらの間で、プライバシーを懸念する声が一気に高まりました。

Safariのセーフブラウジング機能の問題については以下の記事に詳しく書かれています。

iPhoneがSafariのデータを中国企業に送信していた可能性が浮上、Appleは否定 - GIGAZINE

この報に接したグリーン氏も、「待って、Appleが中国企業のTencentにURLを送っているだって！？」と驚がくの声をあげていました。

セキュリティの専門家として、この件を詳しく調べてみることにしたグリーン氏は「具体的な情報が少なく、セーフブラウジング機能そのものがあまり知られていない」ことに気がつきます。そこで、グリーン氏は「Appleのセーフブラウジング機能はどのくらい安全か？」と題するブログ記事を公開して、そもそもセーフブラウジング機能とはどんな機能なのかを解説することにしました。

◆セーフブラウジング機能のあらまし
モバイル向けのセーフブラウジング機能を最初にリリースしたのはGoogleです。Googleは2015年12月に、当時Android向けのブラウザだったChromeにセーフブラウジング機能を導入し、フィッシング詐欺サイトなどの危険からブラウザを保護する取り組みをスタートさせました。

ただし、初期のセーフブラウジング機能はURLをそのまま平文でやりとりしていたので、「このAPIは悪夢のような出来でした」とグリーン氏は述懐しています。

その後、Googleのセーフブラウジング機能はどんどん洗練されていき、「アップデート版API」と呼ばれるようになってからは次の4つの手順を踏んでブラウザを保護するようになりました。

1：まずGoogleは危険なURLを集めてデータベース化し、SHA-256のアルゴリズムでハッシュ化します。その後、ハッシュを32ビットのプレフィックスに短縮してデータベースを圧縮します。
2：Googleは短縮されたハッシュという形でデータベースをブラウザに送信します。
3：ブラウザはURLにアクセスするたびにURLをハッシュ化し、Googleから送られてきたデータベースと照合します。
4：もしURLとプレフィックスが一致した場合、ブラウザはGoogleのサーバーにプレフィックスを送信。これを受け取ったGoogleがデータベースと一致したURLを全て256ビットのハッシュの一覧として返送すると、ブラウザは問題のURLが既知の危険なURLと完全に一致しているかを確認し、一致した場合はアクセスを遮断します。

by Gerd Altmann

この際、Googleとブラウザが通信する各段階でユーザーのIPアドレスやそのほかの識別子を確認するため、GoogleのサーバーにCookieなども収集されてしまう可能性があります。つまり、Googleなどのセーフブラウジング機能のプロバイダーは、やろうと思えば個人の追跡や監視にセーフブラウジング機能を転用できるというわけです。

事実、Googleやロシアの検索エンジンYandexのセーフブラウジング機能について研究した(PDFファイル)論文には、「GoogleとYandexのサーバーから、ブラウザとサーバーの通信不良により発生したものか、さもなければ特定のURLを追跡するために意図的に混入されたおそれのあるプレフィックスが多数検出されました。Googleのサーバーに関しては危険性はかなり低いですが、Yandexのサーバーについてはかなり危険性が高いとみられます」と報告されています。

この研究報告を発見したグリーン氏は「うげえ」とうめき声をもらしました。

こうした点を踏まえ、グリーン氏は「この手法の弱点は、一定のプライバシーしか保障されていないことです」と指摘。プライバシー保護の観点からみると、セーフブラウジング機能は完全に安全だとはいえないと警告しています。

◆セーフブラウジング機能のプロバイダーは信用できるのか？
そこで重要になってくるのが、「セーフブラウジング機能のプロバイダーは信用できるのか？」という問題です。具体的には、前述のSafariの問題で明らかになったセーフブラウジング機能のプロバイダーの、GoogleやTencentが信用できるかが焦点となります。

SafariがGoogleとTencentにプレフィックスやIPアドレスを送信していることを説明するiOSの表示。

例えば、Googleはアメリカの捜査機関であるFBIの要請を受けた際は、原則的にはデータをFBIに提出します。しかし、FBIの捜査令状を精査し、捜査に不必要なデータの請求があった場合は令状を差し戻したり、データを提出する際はGoogleの記録管理人自身が出廷し、提出するデータの真正を保証する宣誓を行ったりして、みだりに保有するデータを公開しないよう取り組んでいます。

Googleが捜査機関にデータを提出する際のプロセスについては、以下の記事を読むと一発で分かります。

元Google社員が明かす「G Suiteをうまく使うコツ」とは？ - GIGAZINE

グリーン氏は、「プライバシーを重要視する立場の者として、Googleによるプライバシーの侵害リスクは悪意あるウェブサイトからユーザーを保護する必要性に見合ったものだと結論しています」と述べて、Googleの取り組みは信用に足るものだと評価。Googleが提供するセーフブラウジング機能には、ある程度プライバシーを犠牲にするだけの価値があるとの見方を示しています。

また、AppleがGoogleだけでなくTencentにもデータを送信していることについても、前述の中国企業に対するiCloudのデータ移管が中国の法律にのっとった結果だという点に触れて、グリーン氏は「Appleにはそうするより他に選択肢がなかったようです」と一定の理解を示しています。一方で、「Appleはユーザーに黙って中国にデータを引き渡したりするべきではありませんでした。ジャーナリストがAppleから情報をすっぱ抜いたからこそいろいろな事実が明らかになったものの、我々にはまだ知らないことがたくさんあります」と指摘し、都合の悪い事実を表沙汰にしないAppleの姿勢を改めて非難しました。

グリーン氏はさらに、「Appleには2つの異なる顔があります。1つは「Find My」機能などのテクノロジーを駆使してユーザーの自由を最優先にする企業としての顔。もう1つは中国におもねってユーザーの自由を犠牲にする企業の顔です。Appleはこの2つの顔を自在に使いこなせると思っているようですが、私には大いに疑問です」と述べて、付和雷同な対応を見せるAppleへの不信感をあらわにしました。