2018/02/28

Web サイト分析によるパスワードの偶発的な不正取得

2018 年 2 月 28 日 Trevor Collins 著

ほとんどの Web サイトでユーザの行動が追跡されていると聞いても、もはや驚きではなくなりました。ソフトウェア製品によっては、「セッションリプレイ」と呼ばれる、ユーザの動作に関する詳細レコードを保持できるものもあり、これには、ユーザのキーボードやマウスからの入力、ネットワークイベントのログやコンソールログ、場合によってユーザの画面の画像なども含まれます。Web サイトはこれらの情報を、サイトの最適化や設計、さらには、マーケティングや業務分析のためのデータマイニングに使用しますが、このようなセッションリプレイにあまりにも多くの情報が記録されている場合もあることがわかりました。WIRED によれば、ユーザパスワードが誤って取得されるのを防ぐための安全対策がセッションリプレイに組み込まれているにもかかわらず、実際にはそのような状況が多く発生していることを、プリンストン大学の研究チームが発見しました。

セッションリプレイのいくつもの異なる製品で、方法は異なるものの、パスワードが記録されていました。たとえば、いくつかのシステムでは、「pass」という語句を含むフィールドの情報が自動的に削除されていましたが、パスワードフィールドのラベルが「pwd」であったり異なる言語を使用していたりすると、情報が削除されないことがわかりました。あるいは、パスワードフィールドがそのまま記録されることはないものの、「パスワードを表示」をオンにするとユーザが入力したパスワードフィールドが平文で表示され、新しいフィールドが作成されてセッションリプレイでそれが記録される場合がありました。サードパーティのツールが予期しない方法でセッションリプレイソフトウェアとやり取りし、結果としてパスワードが記録されてしまうこともあるようです。これを解決するのが困難であるのは、さまざまな状況でこの問題が発生するためです。調査チームによるこの調査結果に対するベンダの対応を紹介している記事から、一部を抜粋して以下にご紹介します。

調査チームの研究者たちは、調査対象となった分析ソフトウェアのどのベンダも、機密データを意図的に収集したわけではなく、ハッキングなどの不正目的もなかったと考えています。また、今回の調査に協力した会社や問題のあった Web サイトは、この調査結果が明らかになったことを受けて、さまざまな改善を実施しました。しかしながら、今回の調査結果は、個人情報の保護には多岐にわたる課題があり、その影響がさらに大きくなっていることを示しています。オンライン追跡を研究しているプリンストン大学の博士研究員である Günes Acar 氏は、次のように説明しています。

「この件に対し、このような情報漏えいを検知するための対策を強化するとの回答がベンダ数社からありました。しかしながら、フィールドからの入力の収集を全面的に止めない限り、このような漏えいを完全になくすことはできず、私自身は、決して楽観視できる問題ではないと考えています。」

このレポートは、セキュリティとビッグデータが興味深い緊張関係にあることを示しています。Web サイト(および企業)が収集できるデータが多ければ多いほど、製品開発やマーケティングにさまざまな情報を活用できますが、訪問者の PPI を誤って取得し、それを公開してしまうリスクも高くなります。WIRED の記事全文(英文)で詳細をご確認いただき、パスワード流出のこれ以外の例については、Secplicity のこちらの記事を参照してください。