暗号学者で教授のマシュー・グリーン氏が本日発表した報告書では、Appleがユーザーの閲覧データを中国企業のテンセントと共有しているのではないかという懸念が提起されました。Appleは公式回答を発表し、実際のURLは第三者と共有されていないことをユーザーに保証しました。

Appleはセーフブラウジングサービスを提供するためにGoogleを利用していたが、iOS 13とmacOS Catalinaでは中国の規制に従うためにTencentを利用し始めた。

ウェブサイトにアクセスする前に、Safari はウェブサイトのアドレスから計算された情報を Google セーフブラウジングと Tencent セーフブラウジングに送信し、そのウェブサイトが不正なものかどうかを確認します。これらのセーフブラウジングプロバイダは、ユーザーの IP アドレスを記録する場合もあります。

今朝お伝えしたように、教授であり暗号学者でもあるマシュー・グリーン氏は、第三者がユーザーの IP アドレスや閲覧している Web ページを見ることができるようになることについて懸念を表明しました。

ジョンズ・ホプキンス大学の教授で暗号学者のマシュー・グリーン氏は、これはアクセスしようとしているウェブページとIPアドレスの両方が明らかになる可能性があるため、問題だと指摘しています。また、デバイスにCookieが保存される可能性もあります。このデータは、ユーザーの閲覧行動のプロファイルを作成するために使用される可能性があります。

ブルームバーグは 、この件に関してアップルから公式の回答を得ており、同社は実際のウェブサイトのURLはテンセントやグーグルと共有されていないと述べ、ユーザーが機能をオフにできるなど、詐欺ウェブサイトの警告について詳しく説明している。

この声明は、米国ユーザーのデータが中国資本のテンセントのデータと混同される可能性があるという懸念を払拭するものです。Appleは、デバイスに中国本土のリージョンコードを設定しているユーザーに対してのみ、安全なブラウジングプロバイダーとしてテンセントを利用していると述べています。Appleはブルームバーグに対して次のように発表しました。

Appleは、Safariの詐欺ウェブサイト警告機能により、ユーザーのプライバシーとデータを保護します。これは、悪質なウェブサイトとして知られているウェブサイトにフラグを立てるセキュリティ機能です。この機能を有効にすると、SafariはウェブサイトのURLを既知のウェブサイトのリストと照合し、ユーザーがアクセスしたURLがフィッシングなどの詐欺行為の疑いがある場合に警告を表示します。この処理を実行するために、SafariはGoogleから悪質なウェブサイトのリストを受け取り、地域コードが中国本土に設定されているデバイスの場合はTencentからリストを受け取ります。アクセスしたウェブサイトの実際のURLは、セーフブラウジングプロバイダと共有されることはありません。また、この機能は無効にすることもできます。

更新:  Safari の詐欺ウェブサイト警告の仕組みと、実際の URL が第三者と共有されない理由について、より詳しい情報が分かりました。

ウェブサイトが既知の悪意のあるサイトのリストと一致するかどうかを確認するプロセスは、Safari が URL を読み込む前に実行され、ハッシュされたプレフィックスのみをチェックすることによって一致プロセスが開始されます。

Safari はハッシュ化されたプレフィックスの一致を検出すると、そのハッシュをセーフ ブラウジング プロバイダー (Google または Tencent) に送信し、プレフィックスに一致した URL の完全なリストを要求します。

SafariはリクエストをGoogleまたはTencentに直接送信するため、デバイスのIPアドレスを受け取ります。Safariはプレフィックスに一致する悪意のあるURLの完全なリストを取得した後、デバイス上で完全一致するURLが存在するかどうかを確認します。そのため、実際のURLはセーフブラウジングプロバイダと共有されることはありません。

それでもこれらの警告をオフにしたい場合は、「設定」→「Safari」→「詐欺サイトの警告」に進みます。

Mac では、Safari → 環境設定 → セキュリティ → 詐欺サイトにアクセスしたときに警告するオプションがあります。

havebin.com を Google ニュース フィードに追加します。