ブラウザアクセスだけでダダ漏れな情報を簡単に確認する方法

掲載日: 2016年07月01日
(最終更新日：2016年07月01日）

インターネットを見るために日常的に使用しているブラウザですが、皆さんはブラウザのセキュリティについて考えたことはあるでしょうか？

コンピュータウイルスに対してはきちんと対策している人でも、意外とブラウザのセキュリティに対しては無頓着な場合が多いです。

そこには、エンジニア歴が長い人ほど陥りやすい「自分はだいたい把握している」ですとか、「常時セキュリティーソフトで不審な通信はチェックしているから大丈夫」といったエンジニアならではな落とし穴があるようです。

会社PC、自宅やモバイル環境でのネット閲覧など、普段なにげなく行っていることが、実は業務上重大な賠償責任に問われる発端となることもあります。

今回はそんなブラウザから大事な情報が漏れないようにきちんと対策し、実際にどんな情報が漏れているのか確認する方法を改めて考えてゆきます。

以外と多くの情報が漏れていることにびっくりすると思いますので、ぜひご確認ください。

実際ブラウザアクセスだけで漏れる情報ってどんなものがある？

出典: Daniele Zanni via Visual hunt / CC BY-NC-SA
「危険なサイトがあって、そういったサイトにアクセスするだけでウイルスや悪質なスパムウェアに感染してしまう」という事実があることだけは見聞きして知っている人がほとんどだとは思います。

職場で業務の一環としてインターネットで調べ物をしたり、Webサービスを使ったりすることはほぼ全ての人にとって日常茶飯事のことです。

そういった日常茶飯事の行為から、実はその際に使うブラウザから情報漏洩しているデータがあることはあまり知られていないようです。

つまり普段何気なしに使っているブラウザから、実はあなたの情報や会社の情報が「ダダ漏れ」になっている可能性があるのです。（こ・・・怖い）

「いやいや、そんなこと知ってるよ！ブラウザの種類とか、バージョン、OSの種類とかでしょう？」

なんて声も聞こえてきそうですが…違います。

実はブラウザはさらに多くの情報を送信しています。

ただ、念の為に予め言っておきますが…ブラウザから漏れる情報によって読者の皆さん一人ひとりの全ての情報が漏れてしまって、個人が特定されるということはほぼありません。

では、どんな情報がブラウザから漏れているのか？　なのですが、大きく分けて、

通信に必要な情報
ブラウザ等の情報
JavaScript取得情報

の3つがあります。

「通信に必要な情報」というのは、ホームページにアクセスしたIPアドレスやポート番号の情報のことです。

問い合わせフォームや掲示板に書き込みした時に勝手にIPアドレスが表示されるのはブラウザが相手サーバーに対して自動的にIPアドレスを送っているためです。

「ブラウザ等の情報」というのは、使用しているOSやブラウザ、言語などの情報です。

よくGoogle AnalyticsなどのSEOツールで訪問客のブラウザやOSが表示されるのはこれらの情報をブラウザが自動的に送っているためです。

そして「JavaScript取得情報」ですが、これはJavaScriptによってブラウザから自動的に送られる情報のことで、主に画面サイズやGPSによる位置情報などがあります。

実際にどんな情報がブラウザアクセスだけで漏れているのか確認する方法

前章でブラウザでアクセスするだけでも一定の情報が漏れていることが分かりました。

現在では一定の情報が漏れるのはある意味「仕方ない」ことだと割り切ることが必要なのかもしれないのですが、せめてどういう種類の情報がどれだけの量漏れているか？　ということはきちんと把握しておいたほうがいいです。

そこで、あなたのブラウザからどれぐらいの情報が漏れているのか、実際に確認することができる便利なサービスがありますのでご紹介いたします。

ブラウザからの情報漏洩を調査するツール「webkay」

情報漏洩調査サービスである「webkay」（webkay.robinlinus.com）を使えば簡単にどんな情報が漏れているのか確認することができます。

このサービスにアクセスした瞬間から、勝手に収集されてしまうあなたの情報が一覧になって表示されます。

「webkay？アクセスするのが怖いんだけど…」と思っている方、大丈夫です。

実際今こちらのページをご覧いただいている現在でも、その情報は漏れているのです。

「webkay」はそういった「どんな情報が常にブラウザから発信されているのか再確認する」ためのサービスなので、重大なハッキングや趣向を凝らしたバックドアが仕込まれてしまうといった心配は不要です(笑)

アクセスしてみると分かるのですが、webkeyの最上部にある「Location」という欄では無線LANやGPS、IPアドレスなどの情報によって割り出された「あなたが現在いる場所」がざっくりと表示されます。

ネット環境にもよりますが、大体正しい位置が表示されているようです。

つまり、あなたが今どこでパソコンを触っているかをサイトの向こうの人はざっくりと把握できているということになります。
（あくまで場所の情報ですので、個人を特定できるものではありません）

その他には以下のような情報もブラウザーから漏えいしています。

OSの種類
アクセスしているブラウザの種類と詳細なバージョン
アクセスしているブラウザに導入されているプラグイン
CPUの情報
GPUの情報
モバイルであればバッテリー状況
各種ソーシャルメディアのログイン状況

Facebookやtwitterなどのサービスにログインしているかどうか、なんていうのも分かってしまうのですね…

さらにスマホでジャイロ機能を有効にしている場合、そのスマホの高度までわかるので、その位置情報から「現在アクセスしているスマホがテーブルの上にあるのか、はたまた手元で操作しているのか」なんてことも分かってしまいます。

また、これはちょっと今回の趣旨とは違うのですが、たとえばスマホから撮影した画像などに含まれるメタ情報も気をつけたいところです。

撮影するカメラアプリの設定によっては、詳細な撮影された位置情報や、タグ付けされた友人や家族などの情報なども記録されている可能性があります。

そんな「自分が持っている画像にどのようなメタ情報が入っているのか」を確認できるツールも「webkay」は備えています。

それが、Imagesの項目です。
ここで念のためいつも良く使うスマホで撮影した画像をアップロードして、メタ情報の確認をしておくと良いでしょう。

このようにwebkeyではあなたがブラウザでアクセスすることによって、相手のサイトにどれだけの情報を渡ししているのかが分かるようになります。

意外と多くの情報を渡していることに気がつくと思います。

エンジニアが情報漏洩を起こさないために…

さて、ここまではブラウザで勝手に漏れてしまう情報についてお話してきましたが、実際にエンジニアの方が職場で情報漏洩を起こさないためにどうすれば良いのかをお話したいと思います。

情報漏洩対策の一環としてこの機会に改めて基本的な知識を確認しておきましょう。

パスワードは定期的に変更する

各種Webサービスの利用で必要となるパスワードですが、何らかの理由で盗まれて悪用される可能性があるので、複雑なものに設定するのと同時に定期的に変更する必要があります。

いろんなサイトで共通のパスワードを使わない

さらに言えばいろいろなサービスで使っているパスワードを単一のものにせず、すべて変えておきたいところです。

これは万一パスワードが漏れてしまった場合、有名なWEBサービス（Facebookやtwitter、Googleアカウント、Amazon…などなど）総当たりで共通パスワードが使われていないか確認されてしまうためです。

ここで共通のパスワードの場合、一つのパスワードで複数のアカウント情報が漏えいしてしまう結果になります。

離席時のパスワードロック設定は一定時間で自動で

また、職場などで離席する場合に備えてパソコンにパスワードロックを必ず掛けるようにしておきましょう。

不審なサイトに不用意に個人情報を送信しない

「安全確認の取れていないWebサイトに個人情報を入力しないようにする」ということも重要です。
インターネット上には様々な有名サイトを装った「フィッシングサイト」が存在しているので、個人情報を入力する際には最新の注意を払う必要が出てきます。

知らないうちに偽のサイトに誘導されて、そこで騙されてIDやパスワードなどを入力しないようにしましょう。

フィッシングサイトの可能性がある際には事前に注意喚起してくれるように、セキュリティソフトの導入と更新も必ず実施しておくようにしましょう。

最近何かと話題になる情報漏洩についていくつかのポイントをご説明してきました。

ニュースでも取り上げられることがありますが…一度の情報漏洩によって数百万から数千万の損害を被ることも決して珍しいことではありません。

あなたがそんな立場にならないように情報の管理には細心の注意をすることを心がけて下さい。

＞AWS上でのインフラ環境構築、インフラのコード化、自動化、DevOpsといった現場の技術を学べます。（※詳しくはクリック）＜

STRA株式会社では随時SES事業のニュースを
FacebookとTwitterでお届けしています。
いいね！とフォローをして、
最新の情報をチェックしてください。

Follow @stra_co_ltd

＜著者情報＞

STRA株式会社
- http://stra.co.jp/
コンテンツ企画・制作編集部（監修：石岡章司）
stra_co_ltd
STRA.official
STRA株式会社のコンテンツ企画・制作編集部ではフリーエンジニアの皆様に向けたお役立ち情報や業務委託案件のご紹介、人材情報のご提供のほか、ホームページ制作を検討中の方に向けたお役立ち情報を日々お届けしています。

「あなたのチカラは、社会のチカラ」をキャッチフレーズにエンジニアの皆様と企業とを結びつけるSES事業を行っています

STRA株式会社のSES事業は、エンジニアの皆様と各プロジェクトをオープンしている企業とを結びつける活動を行っています。取り扱い案件は多数！「OS・仮想化・サーバーエンジニア案件」や「データベースエンジニア案件」、「コンサルタント・PM・PMO案件」、「ネットワークエンジニア案件」はもちろん、「一般事務業務案件」など、多数のお取引実績があります。開発系からコンサルタント系まで、日々当社に寄せられてくる求人情報は100を超えています。ぜひあなたのお力をお貸しください！

すぐにお仕事情報が欲しい方は
こちらよりエントリー！

お申し込みからお仕事ご紹介までわずか３ステップ！
多数の非公開案件の中からご紹介いたします！

お問い合わせ種別必須	求人エントリー人材の問い合わせパートナーシップについてご意見・ご提案その他のお問い合わせ※ 求人エントリー以外のお問い合わせもこちらで承っています。 ※「備考」欄にお問い合わせ内容をご記入の上お送りください。
お名前・会社名必須
メールアドレス必須
備考任意
以下のご利用規約・プライバシーポリシーをご一読、ご同意の上送信してください。
ご利用規約第1条　規約本規約は、STRA株式会社（以下「当社」という。）が運営する公式サイト『http://stra.co.jp』（以下、｢本ウェブサイト｣という。提供される全てのサービスに適用されます。第2条　サービス本サービスとは、本ウェブサイトを通じた求職・求人、及び、それに関連するサービスを利用目的とするサービスとします。ユーザとは、本サービスを利用する個人とします。本サービスを利用する者は、本規約の内容をすべて承認したものとします。当社および当社のサービス利用企業は、本サービスを提供する際に、ユーザに対し、Eメールやダイレクトメール、及び郵便、電話、ファックスによって連絡させていただくことがあります。第3条　禁止行為ユーザは、次の行為をすることはできません。登録に際し、虚偽の情報を提供すること。当社、他のユーザ又は第三者の著作権等知的財産権の侵害に当たる行為。当社、他のユーザ、又第三者の財産権やプライバシーに関する権利、その他の権利又は利益を侵害する行為。本サービスで得た情報を、本サービスの利用目的の範囲を超え第三者に譲渡し、又は営利を目的とした情報提供活動に活用すること。コンピューター・ウィルスや有害なコンピューター・プログラムを含む情報を送信する行為。本サービスの運営の妨げの可能性がある行為。本サービスを利用する他のユーザ又第三者を誹謗中傷していると見られる行為。公序良俗に反すると思われる行為。法令に反する全ての行為。その他、当社が不適切と判断できる全ての行為。第4条　責任ユーザは自らの意思によって本サービスを利用します。ユーザーは、自ら登録した情報に関しては、一切の責任を負うものとします。登録情報は、本サービスを利用するために必要な範囲内で、常にユーザが責任をもって利用目的に沿い、正確、最新に保つものとします。第5条　登録情報の削除ユーザによる情報の送信、提供等の行為が本規約第2条に規定された行為に該当する可能性があると当社が判断した場合には、ユーザ通知することなく、当該情報の全部又は一部について、削除、送信停止その他必要と認める措置を講じることとします。ユーザが本規約の規定に違反した場合には、ユーザに通知することなく、ユーザの登録を抹消できるものとします。第6条　登録情報の利用ユーザは、本サービスにおいて提供した情報のうち、個人を特定する情報を以外の情報を、当社が日本の国内外で無償にて使用する権利を許諾したものとみなします。また、ユーザは著作者人格権を行使しないものとします。第7条（個人情報の取り扱い）本サービスにおける個人情報の取り扱いについては、「個人情報保護方針」をご確認ください。ユーザは、本サービスを利用する場合には、当該個人情報保護方針を承認したものとさせていただきます。第8条　サービスの変更当社は、本サービスの運営を良好に保つため、ユーザに対して事前の通知なく、本サービスの内容を変更することがあり、ユーザはそれに対して異議を申し立てないものとします。第9条　サービスの停止当社は、以下のいずれかに該当する事由が発生した場合、ユーザへの事前の通知及び承諾を要することなく、本サービスの停止または終了を行うことができます。本サービス運営のためのシステム（以下「システム」という。）の保守、更新等を定期的、若しくは緊急に行う必要性がある場合。通常講ずるべきウィルス対策では防止できない不可抗力により、本サービスの提供が困難な場合。突発的なシステムの故障等が発生して、サービスの運営が困難な場合。その他、不測の事態により、本サービスの提供が困難であると当社が判断した場合。第10条　ユーザによる登録の削除ユーザは、自らの意思により本サービスへの登録情報を削除できます。第11条　免責当社は、企業情報等の第三者の情報、広告その他第三者により提供される情報、ユーザ等が本サービスに登録し掲載する情報等に関し、内容の正確性について保証しません。ユーザの本サービスへの登録及び本サービスの利用から生じる一切の損害に関して、当社は責任を負わないものとさせていただきます。当社による本サービスの提供の中断、停止、利用不能又は変更、ユーザ情報の削除又は消失､ユーザの登録の抹消、本サービスの利用によるデータの消失又は機器の故障若しくは損傷、その他本サービスに関連してユーザが被った損害につき、一切の責任を負わないものとします。本ウェブサイトから他のウェブサイトへのリンク又は他のウェブサイトから本ウェブサイトへのリンクが提供されている場合でも、本ウェブサイト以外のウェブサイト及びそこから得られる情報について、当社は一切の責任を負わないものとします。本サービスは、就職・転職活動の成功を保証するものではありません。当社の責任を免責する本規約の条項が消費者契約法等の法令に反することによって無効となる場合や、その他の理由によって当社がユーザに対して損害賠償責任を負うべき場合、当社の賠償責任は、ユーザに生じた直接かつ通常の損害の範囲に限るものとさせていただきます。第12条　規約変更当社は、ユーザの承諾を得ることなく、本規約を随時変更することができます。第13条　規約譲渡ユーザは、当社の書面による事前の承諾なく、本規約に基づく権利又は義務につき、第三者に対し、譲渡、移転、担保設定、その他の処分ができません。当社は本サービスにかかる事業を他社に譲渡した場合、当該事業譲渡に伴い本規約に基づく権利及び義務並びにユーザの登録情報、その他の顧客情報を当該事業譲渡の譲受人に譲渡することができ、ユーザはその譲渡につき予め同意したものとします。また、会社分割やその他事業が移転する状況を含むものとします。第14条　損害賠償義務ユーザが本規約に違反し、当社に対し損害を与えた場合、ユーザは当社に対し、損害賠償義務を負担するものとします。第15条　準拠法及び管轄裁判所本規約の準拠法は日本法とし、本規約に関する紛争については、当社の本社所在地を管轄する地方裁判所または簡易裁判所を第１審の専属的合意管轄裁判所とします。第16条　実施本規約は2013年12月24日から実施するものとします。プライバシーポリシー STRA株式会社は、個人のプライバシーを扱うサービス業の特性を踏まえ、個人情報の取扱いに細心の注意を払っております。自主規制基準を遵守の上、個人情報の取扱いに関する基本方針を以下のように定め、個人情報の漏洩などを防止し、取扱う個人情報の保護に努めます。 STRA株式会社は、個人情報の取扱いに関する自社の規範を遵守します。 STRA株式会社は、事業の内容及び規模を考慮した適切な個人情報の取得、利用及び提供を行います。本サービスをご利用するお客様の個人情報は、STRA株式会社が本サービスを提供するために適切な場合に限り使用されます。それには必要な範囲を超えた個人情報の取扱いを行わないこと及びそのための措置を講じることを含みます。 STRA株式会社は、本人の同意がある場合又は法令に基づく場合を除き、個人情報を第三者に提供することはありません。 STRA株式会社は、個人情報の漏洩、滅失又は紛失の防止及び是正のための措置を講じます。 STRA株式会社では、個人情報保護に関する管理の体制と仕組みについて継続的改善を実施します。 STRA株式会社では、お預かりした個人情報は目的以外には利用しません。