2012年9月7日金曜日

ツールバーの情報漏えい

ツールバーから情報漏えいの危険があった。

報道された危険なツールバー
・Tポイントツールバー(CCC提供) サービス休止
 ツールバーをネット検索に使うと、スタンプ1個/日をもらえる仕組み。
 スタンプは2個でTポイント1ポイント。
 代わりに、パソコンで閲覧したすべてのサイトのURLや検索キーワード、
 アクセスした日時などの情報が収集され、同社関連会社の広告会社に
 送信。同社側がデータベース化してダイレクトメールの送付や市場調査
 に利用。
 情報送信に非暗号化処理、情報を盗み取ることができる状態。

・永久不滅プラス(クレディセゾン提供) サービス休止
 ツールバーでネット検索すると商品などと交換できる「永久不滅
 ポイント」がもらえる仕組み。
 URL履歴が収集されることの説明が不十分等の抗議で中止。

・Google Chrome用Yahoo!ツールバー 改変で対応
 Safari用Yahoo!ツールバー 改変で対応
 一部プラットフォーム向け特定バージョンに、細工されたページに
 アクセスするとツールバーが勝手に書き換えられる危険を持つ脆弱性。
 検索キーワードが第三者に漏えいしてしまう危険がある。

以前、サーバ間のやり取りは、CGIで行うことが多かったが、それでも重要
な情報は、暗号化したとのこと。最近は、多種多様なようだ。

会社が、サービス向上と効率化のために、情報を収集する課程で個人情報が
漏洩した可能性もある。収集目的は、ビッグデータの導入かもしれない。
多変数量を取り込み、分析し、動向把握や商売に反映したかったのだろうか。
流行に乗りたかっただけか。
ビッグデータの技術で、個人情報が透けると言われたが、日本では、分析
する前の情報収集の段階で、個人情報を漏えいしてしまった。

情報漏えいの原因は、、発注者、受注者のせいかは不明。
両方のせいかもしれない。
サービスが停止した時、開発費はどちらが負担するのだろうか。

Big Data 透ける個人情報
オバマ 選挙手法


---情報収集ツールバー、「履歴提供」に苦情相次ぐ---
2012年9月3日14時36分  読売新聞
http://www.yomiuri.co.jp/national/news/20120903-OYT1T00616.htm

 パソコンにツールバーをダウンロードし、インターネット検索に利用すると、商品と交換可能なポイントがもらえる「ポイント付加型ツールバー」が増えている。
 ただ、対価なくポイントをもらえるわけではなく、業者側は利用者のサイト閲覧履歴などの情報を収集する仕組みが多い。中には告知が不十分なケースもあり、「どんな情報を集め、どう利用しているのか分かりにくい」などの苦情が相次いでサービス休止に追い込まれる騒ぎも起きている。
 レンタルソフト店「TSUTAYA」を展開する「カルチュア・コンビニエンス・クラブ」(CCC)は8月中旬、約2週間前に始めたばかりのツールバーのサービス休止を決めた。
 同サービスでは、ネット上で同社が提供しているツールバーをパソコンにダウンロードし、ネット検索に使うと、1日あたり1個の「スタンプ」をもらえる仕組み。スタンプは2個でTポイント1ポイント(=1円分)で、全国4万7000の加盟店で使える。その代わり、そのパソコンで閲覧したすべてのサイトのURL(ネット上の住所)や検索キーワード、アクセスした日時などの情報が収集され、同社関連会社の広告会社に送信。同社側がデータベース化してダイレクトメールの送付や市場調査に利用する予定だった。
 ところがサービス開始直後から、セキュリティー上の不安を訴える声が噴出。情報送信の際に暗号化処理をしていないため、一定の知識があれば、簡単にこうした情報を盗み取ることができる状態だったという。
 CCCは8月15日、これまで収集した情報を消去し、新規のURL情報の取得とツールバーのダウンロードを休止することを決定。同社は「ツールバーのダウンロード件数は明らかにしていない。サービス内容は精査している」としている。
 昨年4月から同様のサービスを始めていたクレジット大手「クレディセゾン」も8月31日、新規のサービス提供を休止した。ツールバーでネット検索すると商品などと交換できる「永久不滅ポイント」がもらえる仕組みだが、一部の利用者が「URL履歴が収集されることの説明が不十分」などと抗議したためだという。
 こうしたサービスは2010年頃から増え始め、大手ネット通販会社や、懸賞サイト運営会社なども参入。ただ、収集する情報の説明が分かりにくいケースもあり、インターネット広告に詳しい明治学院大の丸山正博教授は、「ネット上では次々に新しいサービスが登場するが、利用者はどんな情報を収集されるのかきちんと確認する必要がある」と指摘。「事業者も丁寧に説明することで長期的には利用者の増加につながるはずだ」としている。

◆ツールバー=パソコンの操作を簡略化するため、画面上に表示するアイコンの集まり。ネット検索をしたり、お気に入りのサイトに移動する際の手間を省いたりできる。事業者側には、自社サイトをPRするなどの狙いがあり、2000年頃から広まり始めた。


---「Yahoo!ツールバー」に脆弱性、検索キーワードが漏洩する危険性---
2012/07/30
斉藤 栄太郎=ITpro
http://itpro.nikkeibp.co.jp/article/NEWS/20120730/412721/

  情報処理推進機構のセキュリティセンター(IPA/ISEC)は2012年7月30日、ヤフーが提供しているWebブラウザー用プラグインソフト「Yahoo!ツールバー」の一部プラットフォーム向け特定バージョンに、細工されたページにアクセスするとツールバーが勝手に書き換えられる危険を持つ脆弱性が存在することを公表した。
 脆弱性を持つのは、「Google Chrome版」および「Safari版」のYahoo!ツールバーで、バージョン1.0.0.5およびそれ以前のバージョンが対象となる。同脆弱性を悪用されると、悪意を持つ第三者によって遠隔からツールバーが書き換えられ、ユーザーがツールバーに入力した検索キーワードが第三者に漏えいしてしまう危険があるという。ツールバー上のメニューから「ツールバーを更新」を選んで最新版へアップデートすることで、攻撃を回避できるようになる。
 なお、IPAによれば、同脆弱性は2012年6月28日に「keitahaga.com Keita Haga氏」からIPAが届け出を受け、JPCERT/CC(JPCERTコーディネーションセンター)が製品開発者であるヤフーと調整を実施、本日公表したものだという。IPAとJPCERT/CCは共同で、脆弱性情報公開用のWebサイト「JVN」(Japan Vulnerability Notes)を運営しており、今回の脆弱性についても同サイト上に「JVN#51769987」として情報を掲載している。

0 コメント: