ベルギーのKU Leuven、オランダのRadboud University、スイスのUniversity of Lausanneによる研究チームが発表した「Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission」は、まだ送信していないのにもかかわらず、オンラインフォームで入力した個人情報(今回は電子メールアドレスとパスワード)が打ち込んだだけで収集されている問題を調査した論文だ。

 サインインやサービスへの登録、ニュースレターの購読など、さまざまな理由でオンラインフォームに個人情報を入力する。このようなWeb上で個人情報を登録する際に、最後の送信ボタンや登録ボタンをクリックするまでは相手に知られていないと思っていないだろうか。

 驚くべきことに、多くのWebサイトが送信ボタンを押していないのにもかかわらず、データの一部または全部を収集しているという。ユーザーが考えを変えてフォームを送信せずにサイトを去った場合でも、サードパーティーによって収集されているわけだ。キーボードへの入力を記録するキーロガーに類似すると指摘している。

 そこで研究チームは、フォーム送信前に入力した情報が収集されているかを測定するために、独自のクローラーを開発した。クローラーには、事前学習させた機械学習の分類器を適用することで、電子メールアドレスとパスワードを強固に検出できるようにした。

 このクローラーを用い、上位10万件のWebサイト(280万ページ)をクロールした。ユーザーが欧州にいるときにWebサイトを訪れた場合と米国からWebサイトを訪れた場合の2つのシナリオを検討した。

 その結果、1844のWebサイトが欧州のユーザーの電子メールアドレスを同意なしに収集していたこと、2950のWebサイトが米国のユーザーの電子メールアドレスを記録していたことが判明した。また送信前のパスワードデータを収集しているサイトは52件見つかった。

 研究チームは、パスワードを収集していたサイトに対してこれら調査結果を開示した。ロシアの検索大手「Yandex」に調査結果を開示したところ、迅速に対応しパスワード収集を防止する修正プログラムを展開した。

 分析ツールの「Mixpanel」は、調査結果を知ってからわずか2日後にアップデートをリリースした。その後、他の企業にも情報開示を行い、パスワード漏えいサイト52件全てが解決された。このようにある程度の期間を経て改善されたことから、パスワードの収集は偶発的に行われていたのではないかと、研究チームは推測している。

 論文を書き上げた後、Meta PixelとTikTok Pixelについても調査した結果、送信前にハッシュ化された電子メールアドレスを取得していることが分かった。Meta Pixelについては、米国ユーザーで8438サイト、欧州ユーザーで7379サイトが取得していた。TikTok Pixelについては、米国ユーザーで154サイト、欧州ユーザーで147サイトが取得していた。

 以上の調査結果から、送信前にフォームのデータを削除するだけでは、全ての収集から身を守るには不十分であると分かった。対策として研究チームは、個人データの漏えいを警告および保護するFirefoxアドオン「LeakInspector」を開発した。

 このアドオンを利用することで、ユーザーが知らないうちに同意なしにオンラインフォームから個人情報を収集するサードパーティーを監査できるという。

 Source and Image Credits: Asuman Senol, Gunes Acar, and Mathias Humbert “Leaky Forms: A Study of Email and Password Exfiltration Before Form Submission”

 ※テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。