Firefoxのアドオン機能である「Stylish」は、自分が運営するサイトでなくてもCSSを用いて自由にサイトデザインを変更できる拡張機能で、日々のブラウジングを快適にする拡張機能として人気を博していました。ところが、その裏でユーザーのインターネット履歴を収集していたことが判明し、Firefoxのアドオン一覧から削除されるという事態に発展しています。
セキュリティの専門家であるロバート・ヒートン氏はある日、Stylishの不審な挙動に気付き、何を実行しているのかを調査してみました。その結果、Stylishが全てのブラウジングデータを収集しており、企業のデータベースに送信していることが判明したとのこと。
Stylishは2017年1月、オリジナルの開発者からイスラエルのサイト分析企業SimilarWebに売却されており、その時に新たな利用規約として「Stylishの機能改善のために、非個人データのみを収集している」という文言が追加されました。ところが、ヒートン氏によると、Stylishが収集してSimilarWebに送信していたのは非個人的データにとどまらず、登録制のWEBサイトにログイン可能なトークン付きURLや、ブラウザのCookieといった情報まで含まれていたそうです。
トークン付きのURLや非常に長い特殊なURLは、そのURLを知っている人間だけがアクセス可能な状況を想定していますが、閲覧したURL自体がデータとして収集されてしまえば、誰でもURLから秘密のサイトへアクセス可能になってしまいます。ヒートン氏はSimilarWebが個人を特定可能なデータを販売しなくても、セキュリティの不備からSimilarWebに収集されたデータが外部に流出してしまう可能性もゼロではないと警鐘を鳴らしています。
ヒートン氏がStylishのデータ収集を告発した後、FirefoxはStylishをブロックリストに追加したことを明らかにしました。今後はFirefoxからアドオンとしてStylishを追加することはできず、現在Stylishを追加しているユーザーも自動でStylishが無効化され、利用できなくなります。
セキュリティの専門家であるロバート・ヒートン氏はある日、Stylishの不審な挙動に気付き、何を実行しているのかを調査してみました。その結果、Stylishが全てのブラウジングデータを収集しており、企業のデータベースに送信していることが判明したとのこと。
Stylishは2017年1月、オリジナルの開発者からイスラエルのサイト分析企業SimilarWebに売却されており、その時に新たな利用規約として「Stylishの機能改善のために、非個人データのみを収集している」という文言が追加されました。ところが、ヒートン氏によると、Stylishが収集してSimilarWebに送信していたのは非個人的データにとどまらず、登録制のWEBサイトにログイン可能なトークン付きURLや、ブラウザのCookieといった情報まで含まれていたそうです。
トークン付きのURLや非常に長い特殊なURLは、そのURLを知っている人間だけがアクセス可能な状況を想定していますが、閲覧したURL自体がデータとして収集されてしまえば、誰でもURLから秘密のサイトへアクセス可能になってしまいます。ヒートン氏はSimilarWebが個人を特定可能なデータを販売しなくても、セキュリティの不備からSimilarWebに収集されたデータが外部に流出してしまう可能性もゼロではないと警鐘を鳴らしています。
ヒートン氏がStylishのデータ収集を告発した後、FirefoxはStylishをブロックリストに追加したことを明らかにしました。今後はFirefoxからアドオンとしてStylishを追加することはできず、現在Stylishを追加しているユーザーも自動でStylishが無効化され、利用できなくなります。
