ベルギーに拠点を置く科学者らは、オンライン追跡に対する防御を回避するためのDNSベースの手法がますます一般的になり、プライバシーとセキュリティの両方に対する脅威が増大していることを発見した。
ルーヴェン・カトリック大学所属の研究者ヤナ・ディモワ氏、ギュネス・アチャル氏、ウーター・ジョーセン氏、トム・ヴァン・ゲーテム氏、およびプライバシー コンサルタントのルカス・オレニク氏は、7月に開催される第21回プライバシー強化技術シンポジウム(PETS 2021)で発表される研究論文の中で、DNSレコードを悪用してファーストパーティとサードパーティのコンテキストの区別を消すCNAMEベースの追跡の採用増加について詳しく調べています。
「この追跡手法は、サブドメインのCNAMEレコードを利用して、そのサブドメインをウェブサイトと同一のサイトとして扱う」と論文は説明している。「そのため、サードパーティCookieをブロックする防御策は効果を発揮しない。」
ウェブセキュリティモデルは、同一オリジンポリシーと呼ばれるものに基づいています。同じオリジン(ドメイン)を持つリソースは、異なるオリジン(ドメイン)にあるリソースよりも高い信頼度が与えられます。そのため、例えばウェブサイトは訪問者のブラウザに独自のCookie(ファーストパーティCookie)を設定してアクセスできますが、異なるドメイン(サードパーティCookie)に関連付けられたCookieにはアクセスできません。
オンライン パブリッシャーは、広告主が自社の Web サイトでサードパーティの追跡コードを実行してデータを収集し、さまざまな Web サイトを訪問したユーザーを追跡することを喜んで許可してきましたが、インターネット ユーザーとプライバシーを重視する Web ブラウザーは、Web ベースの追跡の適用を制限するために、ここ数年でプライバシー防御を強化してきました。
追跡します
しかし、広告テクノロジー企業はこれまで、こうした障壁を回避する方法を模索してきた歴史があります。例えば、GoogleがSafariのサードパーティCookie設定を無効にしようとした試みを思い出してください。2012年にFTCからわずか2,250万ドルの罰金を科されました。
現在、Brave、Firefox、Safari などのプライバシー重視のブラウザで、ますます効果的な Cookie 防御線が敷設されているため、マーケティング担当者は追跡防止策を回避する取り組みを強化している。
DNS委任またはDNSエイリアシングと呼ばれる手法は、少なくとも2007年から知られており、2010年[PDF]と2014年[PDF]のプライバシーに焦点を当てた研究論文にも登場しました。CNAME DNSレコードの利用に基づくこのトラッキング対策メカニズムは、オープンソース開発者のRaymond Hill氏がuBlock Originコンテンツブロッキング拡張機能のFirefox版に防御機能を実装した2年前に注目を集めました。
BraveブラウザがDNSトラフィックでTorの.onionアドレスを漏洩、バグハンターが警告を発した後修正がリリース
続きを読む
CNAMEクローキングとは、ウェブパブリッシャーがCNAME DNSレコードを使用してサブドメイン(例:trackyou.example.com)をサードパーティの管理下に置くことです。これにより、サブドメインに関連付けられたサードパーティのトラッカーは、ファーストパーティドメインであるexample.comに属しているように見えます。
ベルギーの研究チームはCNAMEベースのトラッキングエコシステムを調査し、この技術を使用している企業が13社あることを発見しました。彼らは、こうしたトラッカーの利用は増加傾向にあり、過去22ヶ月で21%増加しており、上位1万ウェブサイトの約10%でCNAMEトラッカーが使用されていると主張しています。
さらに、CNAMEトラッカーを使用しているサイトには、平均で約28個のトラッキングスクリプトが存在します。これらのスクリプトも、ウェブアーキテクチャの仕組み上、データ漏洩の原因となります。研究者らは、CNAMEトラッキングを使用している7,797サイトのうち、7,377サイト(95%)でCookieデータの漏洩を発見しました。これらのほとんどは、サードパーティのアナリティクススクリプトがファーストパーティドメインにCookieを設定したことが原因でした。
これらの漏洩の全てが機密データを漏洩させたわけではありませんが、一部は漏洩しました。研究者らは、ログイン機能を備えた103のウェブサイトをテストした結果、ユーザーの氏名、所在地、メールアドレス、認証Cookieなどの機密情報が漏洩したウェブサイトが13件あることを発見しました。
「これは、この仕組みが実際に危険であることを示唆している」と、論文の共著者の一人であるルカス・オレニク博士はブログ記事に記した。「ウェブのセキュリティとプライバシーに有害だ」
広告戦争の巻き添え被害
CNAMEトラッキングにより、非公開のベンダーの実装において、ウェブサイトがセッション固定攻撃とクロスサイトスクリプティング攻撃に対して脆弱になるという2つのセキュリティ脆弱性が発見されました。論文によると、ベンダーのうち1社は問題を軽減するための対応を行いましたが、もう1社は対応しませんでした。
_fbpある正体不明のベンダーのトラッカーが、FacebookやGoogle Analyticsなどのファーストパーティの広告・分析Cookieの有効期限を延長する機能に脆弱性を生じさせました_ga。このベンダーの仕組みは十分な検証を提供できず、セッション固定攻撃(ブラウジングセッションを乗っ取る攻撃)が可能になりました。例えば、攻撃者は被害者のクレジットカードを使って商品やサービスを購入することが可能です。
別の CNAME 追跡ベンダーが、ユーザーの電子メールをユーザーのブラウザ フィンガープリント (さまざまな測定可能なブラウザ特性に基づくハッシュ) にリンクする方法を提供していることが判明しました。
「このメールアドレスは、その後、ページが読み込まれるたびに実行される動的に生成されるスクリプトに反映されます。これにより、ユーザーがCookieを消去したとしても、ウェブサイトはメールアドレスを再度取得することができます」と論文は説明しています。「しかし、メールアドレスの値は適切にサニタイズされていないため、追跡スクリプトを含むすべてのページで実行される任意のJavaScriptペイロードを組み込むことが可能です。」
さらに、研究者らは、広告テクノロジー企業の Criteo が、強力なサードパーティ Cookie 防御機能を備えた Safari のユーザーにトラッカーが遭遇すると、特に CNAME トラッキングに切り替えて、Cookie をファーストパーティのコンテキストに配置すると報告しています。
Olejnik 氏によると、CNAME トラッキングはほとんどのトラッキング防止技術を回避でき、それに対する防御策はほとんどないとのこと。
Firefoxでアドオン「uBlock Origin 1.25」以降を実行している場合、CNAMEデセプションを見抜くことができます。Braveも同様です。Braveは最近、Torで発生した問題によりCNAME防御の修復を余儀なくされました。
Chromeは、uBlock Originが接続できる適切なDNS解決APIを備えていないため、この要件を満たしていません。SafariはCNAMEクローキングによって設定されたCookieの有効期限を制限しますが、ドメインの偽装を解除してサブドメインを完全にブロックする必要があるかどうかを判断する手段を提供していません。
「現在、ほとんどの追跡防止機能はフィルターリスト(HTTPリクエストのパターンマッチング)の原理に基づいて動作するため、CNAMEスキームは事実上、そのような防御機能を無効にしてしまう」とオレニク氏はブログで述べた。
「W3C技術アーキテクチャグループの元メンバーとして、この技術がウェブの仕組み、特にクッキー漏洩の部分を悪用している点を特に懸念しています。ある意味、これは新たな低水準と言えるでしょう。」
