Apple、iOSのSafariの閲覧データをユーザの許可と発表なしに中国のTencentに送信

  • ブックマーク
  • Feedly
  • -
    コピー

Appleは、ユーザをフィッシングサイトなど悪意のあるWebサイトから保護するために、これまで長い間グーグル(Google)のセーフブラウジングにユーザの閲覧データの一部を送っていたことはAppleから公式に発表されていました。しかし一部のiOSデバイスからは中国のテック企業の中でも最大のテンセント(Tencent、腾讯)に送っていたことが判明しました。しかもそれについては発表がなかったことが問題となりそうです。

Views of Tencent's New Headquarters

Appleはフィッシング対策システムの一部として、グーグルのセーフブラウジングサービスの他に、中国のテック企業テンセントのサービスも利用していることがわかりました。しかも、2017年のiOS 11からは中国で販売されたモデルだけでテンセントのサービスを利用していましたが、その後米国モデルのiPhoneやiPadでもプライバシーデータがテンセントに送信されていることが判明し、その使用範囲が広くなっていることがわかったのです。

グーグルやテンセントに送られるデータの中には、設定情報、Safariの情報、Safariの検索とプライバシーデータを包括したプライバシー通知が含まれています。この詳細データがいつから追加されたのかはわかりませんが、Twitterユーザの情報によると、iOS 12.2から追加されたと主張されています。そして現行最新のiOS 13デバイスでこれらのデータが送信されていることがわかっています。

AppleはiOSのフィッシング対策機能(iOS Fraudulent Website Warning)の一部として、グーグルやテンセントのサービスを利用しています。これらは、あるサイトが他のサイトになりすましていないか、またマルウェアが仕込まれていないか検出するためのサービスです。

そしてAppleはかつてはグーグルのみのサービスを利用していましたが、最近になってテンセントの同様のシステムを利用していることがわかったのです。

現在のところ、中国で購入されたiOSデバイスのSafariのデータはテンセントに送られる可能性が最大となっています。テンセントにデータが送信されていることについては、Appleのプライバシー通知の中で明らかになりました。

詐欺サイトの警告のところに「ウェブサイトにアクセスする前に、SafariはWebサイトのアドレスから算出された情報をGoogle Safe BrowsingおよびTencent Safe Browsingに送信し、Webサイトが不正かどうかを確かめます。」と明記されています。

重要なのは、最後に「これらの閲覧を安全にするサービスのプロバイダはあなたのIPアドレスも記録する場合があります」と付け加えられていることです。書き方としてはサービスプロバイダ(つまりグーグルやテンセント)が自分で記録するような感じになっていて責任転嫁にみえますが、これは他でもなく、AppleのiOSがこれらの企業に対して、ウェブサイトのアドレスだけではなく、別のデータも送る可能性があることが警告されているのです。

基本的には、Appleはこの2社のセーフブラウジングサービスの中のデータベースを利用して、サイトがフィッシングサイトなのかどうかを判定するというのが主な使い方になるとは思われますが、確かに有効なフィッシング対策のためにはIPアドレスなどのプライバシー情報が必要になることもあるようです。もちろん必ず全てのプライバシーデータがグーグルやテンセントに送信されていることを意味するものでもありません。

問題なのは、Appleがこのグーグルの次にテンセントをプライバシー業務の重要な分野で利用することを発表しなかったことにあります。更に、このフィッシング警告機能はデフォルトでオンになっていることです。ユーザは知らないうちに同意することもなく、テンセントにデータを提供していることになります。

このフィッシング警告機能を無効にするには、設定>Safari>詐欺ウェブサイトの警告をオフにします。ただし、これによってグーグルとテンセントの両方のサービスによる悪意のあるウェブサイトからの保護は失われます。グーグルだけ使いたい人はChromeに切り替えるしかないでしょうね。他にも色々ブラウザはありますし。。

ただ私はこのフィッシング警告機能のおかげでSNSによる詐欺を見抜くことで助かったこともあるので、オフにするのはお勧めしません。私が日本のSIMで受け取ったSMSはこれです。このリンク先に行くとフィッシングサイト(佐川急便などの宅急便の本家にそっくりのサイト)に行くそうですが、Safariが警告を出して止めてくれました。まあ、当時は何も買っていなかったのでものが届くわけもなかったので、フィッシングかなとは思っていたのですが。

なお、中国ではグーグルが実質上グーグルアドセンス(Google Adsense)以外は実質的な活動をしていないこともあり、中国国内の詐欺サイトデータについては、恐らく断然グーグルよりもテンセントの方が情報を豊富に持っていると思われるので、テンセントのセーフブラウジングサービスを中国のサイトに使うことはとても有効な手段だといえそうです。ただし、それがはっきりと前もって発表されていなかったこと、そしてデフォルトでオンになっていることは問題だといえそうです。

Engadgetによると、Appleは上記の件でBloombergに対して公式な声明を発表し、テンセントへの送信は端末の地域コードが中国本土に設定されている端末のみで、しかも閲覧URLなどの閲覧履歴は第三者に送信していないとしています。

「アップルは、Safari Fraudulent Website Warning(Safariによる詐欺サイトの警告)を使用してユーザーのプライバシーを守り、データを保護します。本機能は、本質的に悪意のあるWebサイトにフラグを立てるセキュリティ機能です。この機能を有効にすると、SafariはWebサイトのURLを既知のWebサイトのリストと照合し、ユーザーがアクセスしているURLがフィッシングなどの不正行為の疑いがある場合に警告を表示します。このタスクを実行するために、Safariは既知の悪意あるWebサイトのリストをGoogleから受け取り、地域コードが中国本土に設定されているデバイスについては、テンセントからリストを受け取ります。アクセスするWebサイトの実際のURLは、安全なブラウジングプロバイダーと共有されることはなく、機能をオフにすることができます。」

9to5Macがこの件について詳細を報道しています。それによれば、「AppleからデバイスのIPアドレスはグーグルやテンセントにも渡されるが、URLについてはハッシュ化した(復元不可能な)プレフィックスのみ渡し、完全な閲覧履歴は共有されない」ということのようです。

個人的にはAppleにはテンセントにあまり閲覧データを送って欲しくないというのはあります。特にIPなどは。。なぜなら当方はVPNサービスを運営しているので、VPNサーバのIPアドレスがバレバレになってしまうのは勘弁してほしいのです。まあ、これはあくまで本当に個人的な事情ですが。。笑

記事は以上です。

(記事情報元:Apple InsiderEngadget9to5Mac

Visited 166 times, 1 visit(s) today
  • ブックマーク
  • Feedly
  • -
    コピー

この記事を書いた人