短編動画ビジネスのQuibi、航空会社のJetBlue、ショッピングサイトのWish、その他数社が、HTTPリクエストヘッダーを通じて広告追跡および分析企業に数百万件の人々の電子メールアドレスを漏洩したとされている。
デジタル戦略会社Victory Mediumのザック・エドワーズ氏が水曜日に発表した調査結果によると、これらの企業は過去数年間にわたり、広告ネットワークなどに連絡先情報を漏洩していた。エドワーズ氏が特定したウェブサイト(Mailchimp、ワシントン・ポスト、NGPVan.com、KongHQ、GrowingChild.comも含まれる)の中には、問題の通知を受けてすぐにウェブサイトを修正した企業もあれば、修正しなかった企業もあった。
電子メール アドレスを第三者に開示することは、企業のプライバシー ポリシーに埋め込まれた高レベルの条件でカバーされている可能性がありますが、これは、Web サイトがユーザーの知らない間に個人の連絡先の詳細を瞬時に渡すことがいかに簡単であるかを思い起こさせます。
Brave、Firefox、Safari など、広告トラッキングに対する防御を優先する Web ブラウザを使用しているネットユーザー、または他のブラウザに適切なプライバシー拡張機能をインストールしているネットユーザーは、電子メール アドレスが盗まれることを回避できた可能性があります。
どのように起こるのか
誰かがウェブサイト上のページにアクセスしようとすると(例えば、リンクやボタンをクリックするなど)、ブラウザはそのページへのHTTPリクエストを作成し、ウェブサイトに送信します。このリクエストにはページのURLアドレスが含まれており、このURLにはリクエストに関連する情報が含まれている場合があります。また、HTTPリクエストには、リファラーヘッダーと呼ばれるものも含まれている場合があります。リファラーヘッダーは、アクセスしたウェブページのURLを指定します。
さて、ウェブページへのリンクをクリックし、そのURLにあなたのメールアドレスが含まれていると想像してみてください。ブラウザがそのウェブページをリクエストして受信すると、ブラウザは画像やJavaScriptコードなどのファイルを他のウェブサイトから自動的に取得するよう指示されます。ブラウザがこれらの追加ファイルを要求すると、HTTPリクエストのリファラヘッダーには、先ほど開いたURLが表示されます。そして、そのURLにはあなたのメールアドレスが含まれていることをお忘れなく。これで、そのウェブページからあなたの連絡先情報が他のサイトに漏洩したことになります。
エドワーズ氏によると、最近リリースされたショートビデオ共有アプリ「Quibi」はまさにその通りのことをしていたという。新規ユーザーがメールアドレスで登録すると、アカウント作成確認リンクが記載されたメールが届く。そのリンクをクリックすると、アカウントのメールアドレスが記載された以下のURLのウェブページに移動した。
https://quibi.com/email_verified/?email=user%40gmail.com&...
この認証ページは、取得されると自動的に他のサーバーにアクセスし、JavaScriptコードやその他のファイルをリクエストします。その際、サインアップアドレスを含む認証ページのURLがHTTPリクエストのリファラーヘッダーに含まれます。つまり、QuibiはユーザーのメールアドレスをGoogleのDoubleClick、Google Tag Manager、Google Analytics、Facebook Analytics、Twitter、Snapchatなどの広告パートナーに平文で提供していたことになります。これらのウェブサイトは、例えば、ユーザーに合わせた広告をターゲティングするために、Quibiへの関心とメールアドレスを紐付けることができるのです。
Quibiはコメント要請にすぐには応じなかった。エドワーズ氏によると、同社は上記のようにメールアドレスを漏らすことはもうしていないという。Quibiのプライバシーポリシーには、広告ネットワークとユーザーの情報を共有すると記載されているが、このような形でメールアドレスが共有されることについては具体的に言及されていない。
ジェットブルーも同様にサインアップ用ウェブページからメールアドレスを漏洩し、3月にその欠陥について警告を受けていたとされている。「漏洩の報告を受けたジェットブルーは、違法となるため、今回のようなことは決してしないと表明した」とエドワーズ氏は報告書の中で述べている。
同航空会社はコメント要請にすぐには応じなかった。Quibiと同様に、プライバシーポリシーではメールアドレスが商業目的で開示される可能性があると明記されているものの、具体的な方法については明記されていない。
Wish.com は過去 2 年間、暗号化ではない base64 エンコード方式で何百万もの電子メール アドレスを送信していたと伝えられています。
「2018年7月から2020年1月にかけて、この調査結果がWish.comに最初に共有されるまでの間、Wishは少なくともGoogle、Facebook、Pinterest、Criteo、PayPal、Stripe、そしておそらく他の企業にもユーザーのメールを送信していた」とエドワーズ氏は述べた。これらのメッセージのうち数千件は、URLscan.ioなどの検索エンジンによってキャッシュされているようだ。
クパチーノ、君の仕事は一つだけだった:Appleのインテリジェントトラッキングプロテクションは実際にトラッキング防止を実現
続きを読む
Wish.comの副社長兼広報責任者であるグレン・ラーマン氏は、The Register紙に対し、同社はデータ保護とユーザーの信頼を最優先事項と考えていると語った。ラーマン氏によると、今年初めにエドワーズ氏の報告書を受け取った後、ユーザーのメールアドレスを転送中に保護するための暗号化機能の追加など、いくつかの変更を加えたという。
ラーマン氏は、電子メールアドレスを受け取ったウェブサイトはサービスプロバイダーとして機能し、広告や販売支援機能を実行していると指摘し、エドワーズ氏の調査結果に同意しないと述べた。
「ザックは、ウェブリファラーデータが(人間が判読できない文字列に)エンコードされた具体的な方法に異議を唱えており、大手サービスプロバイダーは理論上、まずそのデータを取得し、その後デコードする手順を踏むことができたはずだと推測しています」とレーマン氏は述べた。「そのようなことが起こったと考える根拠は全くありません。確かに、これらの企業にはそうする理由はありませんでしたし、いずれにせよ、そのようなエンコードされた情報をサービスプロバイダーに提供することは『違反』に当たらないのは明らかです。」
エドワーズ氏はThe Registerに対し、メールアドレスは欧州の一般データ保護規則(GDPR)の下では個人を特定できる情報とみなされると語りました。このデータの公開は、欧州で事業を展開する企業にとって問題となる可能性があります。
カリフォルニア州消費者プライバシー法(CCPA)は明確ではない。「だからこそウィッシュは、自社の広告技術パートナーはすべて『サービスプロバイダー』であると主張したのです。CCPAにおいて、このような形でデータを共有できるのは、まさにこの条項のおかげなのです」と彼は付け加えた。
それでも、エドワーズ氏は、自身が特定した組織のいずれも、このデータ共有についてプライバシーポリシーで十分に明確に説明していなかったと考えている。
エドワーズ氏は、こうした情報漏洩が偶発的なものであるとは考えにくいと述べた。「ほとんどの組織がこのようなことを行っている以上、決して偶然ではない」と述べ、この手法は広く知られ、頻繁に利用されている「グロースハック」だと指摘した。
「リターゲティングの機会を増やし、分析システムにおけるアトリビューション分析を改善します」と彼は述べた。「Adrollのような広告テクノロジー企業は、長年にわたりURLからメールアドレスを収集する『データショットガン』を運用してきました。これは周知の戦略です。Liverampは膨大な量のメールアドレスを含むユーザーグラフを保有しており、多くの広告ネットワークはFacebookカスタムオーディエンスのようなメールアドレスマッチング機能を備えています。広告ネットワークにメールがプッシュされるのはほぼ常に意図的であり、それを行う企業にとっては利益になります。」®
