水無月ばけらのえび日記

「永久不滅プラス」がモニター以外のインターネット行動履歴情報も収集していた

公開: 2012年12月6日19時5分頃

こんなお話が。

• クレディセゾンへの信頼、明日、正念場 (takagi-hiromitsu.jp)
• 企業秘密を含み得るメールの件名がNAVERへ送信されている (takagi-hiromitsu.jp)

この「永久不滅プラス」というツールバーの存在は私も以前から知っていたのですが、明示的にモニター登録して情報の送信に同意した場合だけ情報が送信されるものと思っていました。ということで、少し前にこんなつぶやきもしていたわけです。

• Tポイントツールバーが話題になっているようですが、けっこう昔から行動履歴と引き換えにポイントがもらえるセゾンのツールバーがあったり。まあ、こちらは明示的にモニタ登録をする形なのですが。

なのですが、実はモニター登録していなくても情報を送信していたというお話ですね。しかも、バグではなく意図された仕様であるという旨の返答があったという。

ただ、その後方針が変わったのか、モニター登録していない人の情報を全て削除するのだそうで。

• 【重要なお知らせ】「永久不滅プラス」（ツールバー）によるインターネット行動履歴情報の収集について (www.a-q-f.com)

これでモニター登録していない人の情報は収集されなくなるわけで、ひとまず問題はなくなると思います。

ただ、個人的に気になっているのは、行動履歴が送られることの意味がどこまで理解されているのか、という点です。「行動履歴が送られる」ということは理解していても、「行動履歴が送られると何が起きるのか」というところまで理解しているとは限らないのではないか、ということです。

たとえば、WikiのURLにはページ名が含まれていることがしばしばあります。イントラネットのWikiに業務に関する情報をまとめている、というケースは実際にあると思いますが、社外に知られてはまずいようなページ名をつけていると、URLが送信されたときに漏洩する可能性があります。また、HTTPSでアクセスしているページや、ログイン後画面のURLも容赦なく送信されます。ウェブアプリケーションのつくりによってはURLにさまざまな情報が入っている場合がありますので、それが送られてしまう可能性があります。

そういうあからさまなケースを置いておくとしても、URLからは意外に多くのことが読み取れます。URLを見られてもたいしたことは分からないだろう、と思われるかもしれませんが、実際に収集されたURLのデータを見ると、だいぶ印象が変わってくるのではないかと思います。

• 「「永久不滅プラス」がモニター以外のインターネット行動履歴情報も収集していた」にコメントを書く

関連する話題: セキュリティ / プライバシー