
Appleの詐欺ウェブサイト警告機能は、マルウェアをホストしていることが知られているウェブサイト、またはフィッシングサイトであると思われるウェブサイトにアクセスしようとしている際に警告を発するように設計されています。以前はGoogleサーバーにホストされているデータベースを参照してチェックしていましたが、iOS 14.5以降では、ユーザーのプライバシー保護を強化するため、Appleのプロキシを使用するようになりました。
これにより、Apple がすでに採用しているプライバシー保護にさらに一層のプライバシーが加わります。
背景
Googleはウェブをクロールする際に、インデックスに登録したサイトもマルウェアの有無をチェックします。マルウェアがホストされていることが判明したサイトは、怪しいサイトのデータベースに追加されます。さらに、Googleは統計モデルを用いてフィッシングの疑いのあるサイトを特定し、それらもデータベースに追加します。
Chromeは、ウェブサイトにアクセスするたびにこのデータベースをチェックします。URLがリストに含まれている場合、Chromeは警告を表示し、本当にそのサイトにアクセスするかどうかを確認します。
Apple も同じデータベースを使用しており、ユーザーがアクセスしようとした URL が Google に表示されないようにする措置を講じていますが、Google がユーザーの IP アドレスを記録する可能性があると警告しています。
詐欺ウェブサイトの警告を有効にすると、アクセスしているウェブサイトがフィッシングサイトの疑いがある場合、Safari に警告が表示されます。フィッシングとは、ユーザー名、パスワード、その他のアカウント情報などの個人情報を盗もうとする詐欺行為です。詐欺ウェブサイトは、銀行、金融機関、メールサービスプロバイダなどの正規のウェブサイトを装っています。
Safariは、ウェブサイトにアクセスする前に、ウェブサイトのアドレスから計算された情報をGoogleセーフブラウジングに送信し、そのウェブサイトが不正なものかどうかを確認します。「設定」>「一般」>「言語と地域」で地域を中国本土に設定しているユーザーの場合、SafariはTencentセーフブラウジングも使用してこの確認を行う場合があります。実際のウェブサイトアドレスは、セーフブラウジングプロバイダと共有されることはありません。これらのセーフブラウジングプロバイダは、情報が送信される際にユーザーのIPアドレスを記録することもあります。
iOS 14.5におけるAppleの詐欺ウェブサイト警告
AppleはiOS 14.5からプライバシー保護を強化しました。The 8-Bitがその仕組みを解説しています。
Apple によると、ウェブサイトを訪問する前に、Safari は URL のハッシュ化されたプレフィックス (Apple はこれを「ウェブサイトのアドレスから計算された情報」と呼んでいます) を Google セーフ ブラウジングに送信し、一致があるかどうかを確認することがあります。
Appleはハッシュ化されたプレフィックスを使用しているため、Googleはユーザーがどのウェブサイトにアクセスしようとしているのかを把握できません。iOS 14.5までは、Googleはリクエストの送信元のIPアドレスも把握できました。しかし、AppleはGoogleセーフブラウジングのトラフィックをプロキシするようになったため、Safariでのブラウジング中のユーザーのプライバシーがさらに保護されます。
AppleのWebKit責任者であるマチェイ・スタホビアック氏はTwitterで、サイトの当初の説明は正確ではなかったものの、Appleが現在Appleのサーバー上に保管されている独自のデータベースのコピーを使用しているという主張は正しいと認めた。その後、 8ビットは説明を訂正した。
この記事はセーフブラウジングの仕組みの詳細について少し混乱していますが、新しいiOSベータ版では、Safariは確かに情報漏洩のリスクを制限するためにAppleサーバー経由でサービスをプロキシしています。https://t.co/TlDZNMO8do
— Maciej Stachowiak 🇵🇱🇺🇦 (@othermaciej) 2021年2月11日
Appleは、アプリのプライバシーラベルと、広告トラッキングを利用する際にユーザーの許可を求めることを義務付ける今後の要件をめぐり、注目を集めるプライバシーをめぐる争いの真っ只中にあります。プライバシーラベルに関しては、一部のアプリはアップデートを避けることで、収集する個人識別データの開示義務を回避しているようです。例えば、Googleは、この義務の発効に伴い、一部のアプリのアップデートを一時的に停止しました。これが昨日、いくつかの問題を引き起こしました。
後者に関しては、FacebookはAppleを攻撃する新聞の全面広告を掲載し、自社の広告収入ではなく中小企業の利益を擁護しているという、説得力のない主張までした。ハーバード大学の分析によると、Facebookの数字は誤解を招くものであることがわかった。
havebin.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
