Google I/O 2025、5月21日3時から開催。Pixel Aシリーズ発表なし?話題の中心はAIに

iPhoneなどSafariに閲覧履歴の流出不具合。プロフィール写真と閲覧履歴の特定も可能に

Yusuke Sakakura

Yusuke Sakakura

Yusuke Sakakura

ブログメディア「携帯総合研究所」を運営しています。学生時代に開設して今年が16年目。スマートフォンの気になる最新情報をいち早くお届けします。各キャリア・各メーカーの発表会に参加し、取材も行います。SEの経験を活かして料金シミュレーターも開発しています。

2022/01/18 17:00
iPhoneなどSafariに閲覧履歴の流出不具合。プロフィール写真と閲覧履歴の特定も可能に

Appleのウェブブラウザ「Safari 15」において、閲覧履歴やGoogleアカウントの情報が流出する問題が指摘されました。

FingerprintJSのレポートに対して、Appleはすぐに修正に取りかかり、現在は解決済みと報告しているとのこと。現時点で修正版はリリースされていないため問題は今も継続中です。

iOS 15|iPadOS 15|macOSで不具合が発生

FingerprintJSの報告によると、Safari 15に導入されたIndexedDB APIに問題があるとのこと。不具合の対象はSafari 15が動作するiOS 15|iPadOS 15|macOS。iOS 14およびiPadOS 15以下のバージョンは対象外です。

IndexedDB APIは、クライアント側(ブラウザ側)に大量のアプリケーション情報をデータベースで保存するための仕組み。それほど導入が困難ではないことから多くのウェブサイトで利用されているため、今回の問題は広範囲に影響が及びます。

IndexedDB APIには、保存されたデータが他のサイトにアクセスされないように同一生成元ポリシーが設けられています。例えば、Gmailなどを開いて別のタブで悪意のあるウェブサイトを開いた場合、このポリシーによって悪意のあるウェブサイトがメールなどのデータにアクセスすることを防いでいますが、FingerprintJSによれば、Safari 15ではIndexedDB APIがポリシーに反する形で実装されているとのこと。

このポリシー違反によって、悪意のあるウェブサイトにアクセスすると、他のタブやウィンドウが特定されてどのウェブサイトにアクセスしたかが流出する可能性があります。

また、ユーザーIDを含む可能性のあるデータベース名にアクセスできることから、アカウント情報が流出する可能性も指摘されています。

例えば、YouTubeやGoogleカレンダーなどGoogleアカウントを必要とするサービスでは、データベースにユーザーIDを使用しており、このユーザーIDとGoogle APIを使用してGoogleアカウントのプロフィール写真等にアクセスできると説明しています。さらに、複数のアカウントを紐づけることができるため、裏アカと表アカを紐づけることも可能なようです。

実際にFingerprintJSが公開しているデモページにSafariからアクセスしたところ、Twitter.comにアクセスしたことやGoogleアカウントのユーザーID、プロフィール写真が表示されました。つまり、この顔の人がこのサイトを見ていることがあっさりと特定されたということ。プロフィール写真は公開情報ですが、閲覧しているサイトによっては顔写真とセットで公開されると困ることになるかもしれません。

Safari 15からデモページにアクセスすると顔写真と閲覧履歴が特定された
Safari 15からデモページにアクセスすると顔写真と閲覧履歴が特定された

この問題はプライベートブラウジングモードを利用することで影響を小さくできるもののすべてを解消することはできません。

また、iPhoneおよびiPadで利用できるブラウザはすべてSafariと同じWebKitベースのため、Chromeなど別のブラウザを使っても回避できず、Safariを使わないという手段で防ぐことはできません。

すべてのJavaScriptをブロックしたり、信頼できるサイトでのみJavaScriptを許可することで回避できますが、現代のウェブにおいてJavaScriptを制限する方法は現実的ではないため、根本的な解決はAppleによるOSまたはブラウザアップデートだけです。

冒頭で書いたとおりすでにAppleは修正を行っていて、アップデートのリリースを待つだけの状態なので、近いうちにiOS 15.2.2/iPadOS 15.2.2などで修正アップデートが配信される可能性があります。

投稿規約
  • チャットサポートではないので質問は必ず記事を読んでから投稿してください。
  • 迅速な回答のために、質問する際は状況を細かく書いてください。最低限、画面にどういったメッセージが表示されているのかは必要です。
  • コメントに誹謗中傷を含む場合は、発信者情報開示請求を行います。
  • 攻撃的・侮辱的・過激・不快な表現を含む場合はIPアドレスを公開します。
  • VPNを使った書き込みおよび連投は承認されません。

コメントを残す

(任意)

あなたにおすすめ

Googleアカウントのパスキーをオフにする方法

Googleアカウントのパスキーをオフにする方法

スマホとタブレットのセキュリティ2年前