2023年04月26日 11時12分ソフトウェア

Windows標準ブラウザのEdgeがアクセス履歴などをBingに送信していることが判明

by Dennis Sylvester Hurd

Windowsに標準搭載されているウェブブラウザ「Edge」が、アクセスしたURL履歴をMicrosoftの検索エンジン「Bing」に自動的に送信していることが判明しました。2022年からEdgeに搭載されている、YouTubeやウェブサイト全体でお気に入りのコンテンツクリエイターをフォローできる「クリエイターフォロー機能」の誤作動が原因とみられています。

Edge 122 - Bing now tracking every page you visit : r/browsers
https://www.reddit.com/r/browsers/comments/12ysuot/edge_122_bing_now_tracking_every_page_you_visit/

Microsoft Edge is leaking the sites you visit to Bing - The Verge
https://www.theverge.com/2023/4/25/23697532/microsoft-edge-browser-url-leak-bing-privacy

この問題はRedditユーザーのhackermchackface氏によって発見されました。hackermchackface氏は、Edgeの最新版であるVersion 112.0.1722.34以降、閲覧したほぼ全てのウェブサイトのURLを使用して、「bingapis.com/api/v7/followweb/isfollowable」というページにリクエストを送信していることを発見しました。hackermchackface氏は「このURLについて検索しても、結果はほとんど得られず、この機能に関するドキュメントは全く見つかりません」と述べています。

ソフトウェアエンジニアのラファエル・リベラ氏がこの問題について調査を行ったところ、Edgeに実装されたクリエイターフォロー機能の不具合である可能性が浮上しました。リベラ氏は海外ニュースメディアのThe Vergeに対して「Edgeには、デフォルトで有効になっているクリエイターフォロー機能があります。この機能の意図は、YouTubeやRedditなどの特定のウェブサイトをEdgeで閲覧した際に、その情報をBingに送信することだったようです」と述べています。しかし「おそらくクリエイターフォロー機能が正しく動作せず、代わりにユーザーが訪問するほぼ全てのドメインをBingに送信していると考えられます」と推測しています。

hackermchackface氏は「Edgeの以前のバージョンでは、この機能はYouTubeやPinterestなど、一部のソーシャルメディアのウェブサイトのみに適用されていたようです」と報告しています。さらに「最新版のEdgeでは、リクエストの送信に成功した場合、それ以降に訪問した全てのページの情報が送信されます。情報の中には、ローカルドメインやIPアドレス、リクエストの送信以降に訪れる全てのURLがBingに送信されます。また、クリックされたリンクやログイン情報などもBingに対して送信されます」と述べています。

ただし、hackermchackface氏は「この問題について私はクリエイターフォロー機能の誤作動であり、Microsoftの意図的な行動であるとは思っていません」と述べています。

Microsoftのコミュニケーションディレクターのケイトリン・ロールストン氏はThe Vergeに対して「私たちはこの報告を認識しており、現在調査中です。また私たちはこの問題に対処するために適切な措置を講じます」と述べています。しかし、ロールストン氏は「bingapis.com/api/v7/followweb/isfollowable」にURLなどのリクエストが送信される理由や、アクセスしたサイトの情報をBingに送信するために、Edgeがどのように構成されているかについてはコメントを控えました。

The Vergeは「クリエイターフォロー機能を無効にすると、URLなどの情報はbingapis.comに送信されなくなります」と述べ、「Microsoftが調査を完了し、この問題に対して修正パッチを適用するまで、クリエイターフォロー機能を無効にすることを強くお勧めします」と推奨しています。

クリエイターフォロー機能を無効にするには、まずメニューボタンをクリック後、「設定」をクリックします。