Motherboard が今日、カリフォルニア大学サンディエゴ校の新たな調査を報告し、いくつかの懸念すべき脆弱性によって、Web 履歴から URL を取得する攻撃が可能である恐れがあることがわかりました。これらの脆弱性には、ブラウザによる Web 履歴の保存やリンクの構造が関係するため、これらの脆弱性の修正は時間のかかる複雑な作業になり、Firefox や Chrome などの主要ブラウザの動作の構造的な変更を伴うことになるでしょう。

この調査は基本的には、古くからある「スニッフィング」攻撃の新しいバージョンに焦点を当てたものです。スニッフィングは古くからある攻撃方法で、簡単に言えば、プロキシを見つけて悪用することで標的の Web 履歴を不正に取得するものです。今回明らかになった新たな脆弱性は、ユーザが訪問した URL をブラウザが追跡して情報を保存することで同じサイトの以降の読み込みを高速化するという事実を悪用するものです。調査に参加した研究者たちは、ユーザのブラウザの他のサイトの読み込み速度をテストする不正 Web サイトを用意し、ユーザがそれらのサイトを以前に訪問したことがあるかどうかをその読み込み速度によって判断できることを発見しました。これらの方法で、秒あたり数十あるいは数百の URL をテストできるため、攻撃者がユーザの完全な Web 履歴を把握することができます。

研究者は Google と Mozilla に既にこの問題を警告しており、両社は修正作業を現在進めていると回答しました。しかしながら、これらの脆弱性はリンク構造や異なるブラウザによるデータ共有の方法に関わることであることから、おそらくは修正は簡単ではなく、利便性とセキュリティのどちらを優先するかという問題に直面することになるでしょう。以前にクリックしたことがあるリンクをブラウザがわかっていれば、ページの読み込み速度が速くなり、Google 検索の以前の検索履歴をユーザに教えてくれるという利便性があります。これらのプロセスを変更すれば今回の調査で報告された脆弱性は回避されますが、それと引き換えにブラウザの利便性が低下する可能性があります。

ウォッチガードが常にお話しているとおり、100 パーセント完璧なセキュリティは、現実社会においては非現実的あるいは不可能でさえあります。セキュリティの専門家は、セキュリティの新しいプロセスやテクノロジの長所と短所を評価し、セキュリティと利便性のトレードオフを検討する必要がありますが、この脆弱性は、そのような判断を迫られる典型的な例と言えるでしょう。

この記事の全文(英文)はこちらからお読みいただくことができ、カリフォルニア大学サンディエゴ校の研究者によるレポートへのリンクも記載されています。この件は修正すべき脆弱性なのか、あるいは、Web ページの読み込みが高速化されることの方が重要なのでしょうか。皆さんはどのようにお考えでしょうか。