iPhoneがSafariのデータを中国企業に送信していた可能性が浮上、Appleは否定

iPhoneの標準ブラウザであるSafariのセーフブラウジング機能は、ユーザーがフィッシング詐欺サイトを閲覧しようとしている際などに、あらかじめ接続をブロックしてユーザーのプライバシーを守ってくれる機能です。しかし、この機能によりウェブサイトの閲覧履歴やユーザーのIPアドレスが中国企業のTencentに送信されている可能性があることが発覚したと報じられています。

Apple Safari browser sends some user IP addresses to Chinese conglomerate Tencent by default
https://reclaimthenet.org/apple-safari-ip-addresses-tencent/

How safe is Apple’s Safe Browsing? – A Few Thoughts on Cryptographic Engineering
https://blog.cryptographyengineering.com/2019/10/13/dear-apple-safe-browsing-might-not-be-that-safe/

Apple’s Tencent privacy controversy is more complicated than it looks - The Verge
https://www.theverge.com/2019/10/14/20913680/apple-tencent-privacy-controversy-safe-browsing-blacklist-explainer

Apple insists it's totally not doing that thing it wasn't accused of: We're not handing over Safari URLs to Tencent – just people's IP addresses • The Register
https://www.theregister.co.uk/2019/10/14/apple_china_tencent/

プライバシー関連の情報を専門とするテック系メディアReclaim The Netは「iOSでSafariのセーフブラウジング機能について説明している『Safariとプライバシー』の表示には、ユーザーのIPアドレスとウェブサイトのURLがTencentに送信されると明記されている」と指摘。中国共産党と緊密に連携している中国企業Tencentを通じて、iPhoneユーザーのプライバシーが流出しているおそれがあることを報告しました。

Reclaim The Netが指摘した記載は以下の手順で確認することができます。まず、iPhoneの設定からSafariを選択します。

次に、「Safariとプライバシーについて」をタップします。

その結果表示された説明には、詐欺サイトへのアクセスを防ぐ取り組みとして「SafariはWebサイトから算出された情報をGoogle Safe BrowsingおよびTencent Safe Browsingに送信し」「サービスのプロバイダはあなたのIPアドレスも記録する場合があります」と記載されています。

Reclaim The Netは「この設定はデフォルトでオンになっています。つまり、iPhoneやiPadなどのユーザーは手動でこの設定をオフにしない限り、Safariを使用するとTencentやGoogleによってIPアドレスを記録されてしまいます」と指摘。Appleがユーザーに無断でウェブサイトの閲覧履歴やIPアドレスを第三者に送信したことを非難しました。

なお、この機能は「詐欺Webサイトの警告」をオフにすると無効にすることができます。ただし、この設定を行うとセーフブラウジング機能も無効になってしまうため、フィッシング詐欺サイトにアクセスしてしまう危険性も増加します。

TwitterユーザーであるStijn氏によると、「iOS 12.2 beta 2のリリース時にTencentに関する文言が追加された」とのこと。

この一件が取り沙汰された後、Appleは、The VergeやZDNetなどのIT系メディアに送信した電子メールで声明を発表。声明の中でAppleは「SafariはウェブサイトのURLを既知の詐欺サイトのURLリストと照合しています。詐欺サイトのリストは基本的にGoogleから取得しますが、ユーザーの地域コードが中国であればTencentから取得します」と説明し、実際にはURLそのものがGoogleやTencentに送信されているわけではないことや、中国以外のユーザーの情報はTencentに送信されていないことを明らかにしました。

暗号理論の専門家であるジョンズ・ホプキンズ大学のマシュー・グリーン教授は、Googleが提供しているセーフブラウジング機能について「Googleは既知の危険なURLをSHA-256のアルゴリズムでハッシュ化し、先頭の文字列以外を切り捨ててSafariなどのブラウザに送信します。そして、ブラウザはURLにアクセスする度にGoogleから受け取ったデータベースと照合し、もし一致した場合はGoogleのサーバーに改めて照会して確認をとります」と述べて、実際にフィッシング詐欺サイトにアクセスしない限りはURLが送信されることはないと説明しました。

また、グリーン教授は「Googleのセーフブラウジング機能によるセキュリティの向上はリスクに十分見合っています」として、Googleのセーフブラウジング機能にはプライバシーをトレードオフにするだけの価値はあるとの考えを述べました。その一方で、「TencentはGoogleではありません。同じくらい信頼できるかもしれませんが、少なくとも一考には値します」と述べて、Tencentへの情報流出については慎重な姿勢を取っています。

by Chris Yunker

The Vergeも「セーフブラウジング機能はユーザーの追跡や監視に転用可能です。グリーン教授はTencentがこれを行っているとは結論付けていませんが、その可能性はあるでしょう」と記載し、中国企業であるTencentを通じてiOSユーザーの情報が中国政府に流出するおそれがあるとの見方を示しました。

また、「かつてAppleはユーザーのプライバシーとセキュリティを守ることで他のハイテク企業と差を付けていましたが、それゆえに最近の中国政府への弱腰な姿勢は明確な弱点です。Facebookのマーク・ザッカーバーグCEOは『プライバシーや表現の自由などの人権に関する関心が低い国では、機密データを保存しない』との方針を打ち出し、中国市場からの撤退も辞さない構えを示しています」として、中国政府に迎合しがちなAppleの態度を改めて批判しました。