コンピュータウイルスに対してはきちんと対策している人でも、意外とブラウザのセキュリティに対しては無頓着な場合が多いです。
そこには、エンジニア歴が長い人ほど陥りやすい「自分はだいたい把握している」ですとか、「常時セキュリティーソフトで不審な通信はチェックしているから大丈夫」といったエンジニアならではな落とし穴があるようです。
会社PC、自宅やモバイル環境でのネット閲覧など、普段なにげなく行っていることが、実は業務上重大な賠償責任に問われる発端となることもあります。
今回はそんなブラウザから大事な情報が漏れないようにきちんと対策し、実際にどんな情報が漏れているのか確認する方法を改めて考えてゆきます。
以外と多くの情報が漏れていることにびっくりすると思いますので、ぜひご確認ください。
実際ブラウザアクセスだけで漏れる情報ってどんなものがある?
出典: Daniele Zanni via Visual hunt / CC BY-NC-SA「危険なサイトがあって、そういったサイトにアクセスするだけでウイルスや悪質なスパムウェアに感染してしまう」という事実があることだけは見聞きして知っている人がほとんどだとは思います。
職場で業務の一環としてインターネットで調べ物をしたり、Webサービスを使ったりすることはほぼ全ての人にとって日常茶飯事のことです。
そういった日常茶飯事の行為から、実はその際に使うブラウザから情報漏洩しているデータがあることはあまり知られていないようです。
つまり普段何気なしに使っているブラウザから、実はあなたの情報や会社の情報が「ダダ漏れ」になっている可能性があるのです。(こ・・・怖い)
「いやいや、そんなこと知ってるよ! ブラウザの種類とか、バージョン、OSの種類とかでしょう?」
なんて声も聞こえてきそうですが…違います。
実はブラウザはさらに多くの情報を送信しています。
ただ、念の為に予め言っておきますが…ブラウザから漏れる情報によって読者の皆さん一人ひとりの全ての情報が漏れてしまって、個人が特定されるということはほぼありません。
では、どんな情報がブラウザから漏れているのか? なのですが、大きく分けて、
- 通信に必要な情報
- ブラウザ等の情報
- JavaScript取得情報
「通信に必要な情報」というのは、ホームページにアクセスしたIPアドレスやポート番号の情報のことです。
問い合わせフォームや掲示板に書き込みした時に勝手にIPアドレスが表示されるのはブラウザが相手サーバーに対して自動的にIPアドレスを送っているためです。
「ブラウザ等の情報」というのは、使用しているOSやブラウザ、言語などの情報です。
よくGoogle AnalyticsなどのSEOツールで訪問客のブラウザやOSが表示されるのはこれらの情報をブラウザが自動的に送っているためです。
そして「JavaScript取得情報」ですが、これはJavaScriptによってブラウザから自動的に送られる情報のことで、主に画面サイズやGPSによる位置情報などがあります。
実際にどんな情報がブラウザアクセスだけで漏れているのか確認する方法
前章でブラウザでアクセスするだけでも一定の情報が漏れていることが分かりました。
現在では一定の情報が漏れるのはある意味「仕方ない」ことだと割り切ることが必要なのかもしれないのですが、せめてどういう種類の情報がどれだけの量漏れているか? ということはきちんと把握しておいたほうがいいです。
そこで、あなたのブラウザからどれぐらいの情報が漏れているのか、実際に確認することができる便利なサービスがありますのでご紹介いたします。
ブラウザからの情報漏洩を調査するツール「webkay」
情報漏洩調査サービスである「webkay」(webkay.robinlinus.com)を使えば簡単にどんな情報が漏れているのか確認することができます。このサービスにアクセスした瞬間から、勝手に収集されてしまうあなたの情報が一覧になって表示されます。
「webkay? アクセスするのが怖いんだけど…」と思っている方、大丈夫です。
実際今こちらのページをご覧いただいている現在でも、その情報は漏れているのです。
「webkay」はそういった「どんな情報が常にブラウザから発信されているのか再確認する」ためのサービスなので、重大なハッキングや趣向を凝らしたバックドアが仕込まれてしまうといった心配は不要です(笑)
アクセスしてみると分かるのですが、webkeyの最上部にある「Location」という欄では無線LANやGPS、IPアドレスなどの情報によって割り出された「あなたが現在いる場所」がざっくりと表示されます。
ネット環境にもよりますが、大体正しい位置が表示されているようです。
つまり、あなたが今どこでパソコンを触っているかをサイトの向こうの人はざっくりと把握できているということになります。
(あくまで場所の情報ですので、個人を特定できるものではありません)
その他には以下のような情報もブラウザーから漏えいしています。
- OSの種類
- アクセスしているブラウザの種類と詳細なバージョン
- アクセスしているブラウザに導入されているプラグイン
- CPUの情報
- GPUの情報
- モバイルであればバッテリー状況
- 各種ソーシャルメディアのログイン状況
さらにスマホでジャイロ機能を有効にしている場合、そのスマホの高度までわかるので、その位置情報から「現在アクセスしているスマホがテーブルの上にあるのか、はたまた手元で操作しているのか」なんてことも分かってしまいます。
また、これはちょっと今回の趣旨とは違うのですが、たとえばスマホから撮影した画像などに含まれるメタ情報も気をつけたいところです。
撮影するカメラアプリの設定によっては、詳細な撮影された位置情報や、タグ付けされた友人や家族などの情報なども記録されている可能性があります。
そんな「自分が持っている画像にどのようなメタ情報が入っているのか」を確認できるツールも「webkay」は備えています。
それが、Imagesの項目です。
ここで念のためいつも良く使うスマホで撮影した画像をアップロードして、メタ情報の確認をしておくと良いでしょう。
このようにwebkeyではあなたがブラウザでアクセスすることによって、相手のサイトにどれだけの情報を渡ししているのかが分かるようになります。
意外と多くの情報を渡していることに気がつくと思います。
エンジニアが情報漏洩を起こさないために…
さて、ここまではブラウザで勝手に漏れてしまう情報についてお話してきましたが、実際にエンジニアの方が職場で情報漏洩を起こさないためにどうすれば良いのかをお話したいと思います。情報漏洩対策の一環としてこの機会に改めて基本的な知識を確認しておきましょう。
パスワードは定期的に変更する
各種Webサービスの利用で必要となるパスワードですが、何らかの理由で盗まれて悪用される可能性があるので、複雑なものに設定するのと同時に定期的に変更する必要があります。
いろんなサイトで共通のパスワードを使わない
さらに言えばいろいろなサービスで使っているパスワードを単一のものにせず、すべて変えておきたいところです。
これは万一パスワードが漏れてしまった場合、有名なWEBサービス(Facebookやtwitter、Googleアカウント、Amazon…などなど)総当たりで共通パスワードが使われていないか確認されてしまうためです。
ここで共通のパスワードの場合、一つのパスワードで複数のアカウント情報が漏えいしてしまう結果になります。
離席時のパスワードロック設定は一定時間で自動で
また、職場などで離席する場合に備えてパソコンにパスワードロックを必ず掛けるようにしておきましょう。
不審なサイトに不用意に個人情報を送信しない
「安全確認の取れていないWebサイトに個人情報を入力しないようにする」ということも重要です。
インターネット上には様々な有名サイトを装った「フィッシングサイト」が存在しているので、個人情報を入力する際には最新の注意を払う必要が出てきます。
知らないうちに偽のサイトに誘導されて、そこで騙されてIDやパスワードなどを入力しないようにしましょう。
フィッシングサイトの可能性がある際には事前に注意喚起してくれるように、セキュリティソフトの導入と更新も必ず実施しておくようにしましょう。
最近何かと話題になる情報漏洩についていくつかのポイントをご説明してきました。
ニュースでも取り上げられることがありますが…一度の情報漏洩によって数百万から数千万の損害を被ることも決して珍しいことではありません。
あなたがそんな立場にならないように情報の管理には細心の注意をすることを心がけて下さい。