インターネット上では、マイクロソフト傘下のLinkedInがユーザーのコンピュータをスキャンしてLinkedInユーザーをフィンガープリント化・プロファイリングしているという主張で満ちています。
サイバーセキュリティ業界の大多数はすでにBrowserGateについて聞いたことがあります。それを理解している人は少ないでしょう。しかし、Chrome、Edge、Safariで「BrowserGate」を検索すると(本日現在)、トップ検索結果は太字で「LinkedInはあなたのコンピュータを違法に検索しています」と書かれたページが表示されます。その後に続くサブタイトルは「マイクロソフトは現代史上最大級の企業スパイ活動の一つを実行しています」となっています。
BrowserGateは、BrowserGateグループ(自らを「Fairlinked…商用LinkedInユーザーの協会」と説明しています)の同名のグループ名であり、暴露記事(BrowserGateと命名)を提供しており、browsergate.eu URLに位置しています。
BrowserGateの暴露記事によると、LinkedInはEU規制当局を欺いています。「2023年、EUはLinkedInをデジタル市場法下の規制されたゲートキーパーとして指定し、プラットフォームをサードパーティツールに開放するよう命じました。」しかし、LinkedInの主な対応は「その規制が保護するべく設計されたツールへの監視を拡大することでした…2024年の約461製品から2026年2月までに6,000以上に拡大されました。」
簡潔に言うと、BrowserGateが説明する攻撃はLinkedInのJavaScriptを通じて静かに発生します。Chrome系ブラウザでLinkedInを開くたびに、JavaScriptは約6,000のブラウザ拡張機能をスキャンし、結果を収集して暗号化し、LinkedInのサーバに送信します。
これらの多くの拡張機能の存在は、ユーザーの政治的見方、宗教的信念、障害、神経多様性、性的指向、雇用状況、および企業機密をプロファイリングできるとされています。したがって、BrowserGateがこのプロセスを現代史上最大級の企業スパイ活動の一つと説明することが正しいのであれば、これは非常に不安なことです。
ご想像の通り、LinkedInはこの見方を否定しています。LinkedInHelpはHacker Newsに投稿しました。「このデータを使用して、利用規約に違反する拡張機能を特定し、当社の技術防御を改善し、メンバーアカウントが過剰な量の他のメンバーデータを取得している理由を理解しています。これは規模によってサイトの安定性に影響を与えます。このデータを使用して、メンバーに関する機密情報を推測することはありません。」
では、どちらが正しいのでしょうか:積極的なプライバシー侵害と窃盗、それとも正当な防御?Fortraのセキュリティ研究開発担当アソシエイトディレクターであるTyler Regulyは、さらに深く調査して彼の知見を報告することにしました。
彼はLinkedInプロセスを「リソースプロービング」として説明し、6,000以上の拡張機能のどれがインストールされているかを判断するためのものです。
「はい、LinkedInは多数の拡張機能をプローブしていましたが、あなたのコンピュータをスキャンしたり、悪意のあるコードを実行したりはしていません。単に拡張機能が存在しているかどうかを判断するためのシンプルなJavaScript技術です。」
Regulyはリソースプロービングをテストし、6,000以上の拡張機能のサンプル10%で得られた結果をテストすることにしました。「ある拡張機能は閉じるたびにタブを閉じることを拒否し、自分自身を再度開きました。他の拡張機能は、ホーム画面、about:blankページを変更し、ブックマークを追加しました。」別の拡張機能は彼に「Never Gonna Give You Up」ビデオをリックロールし、ブラウザを開くたびに再生していました。「これらの多くが市場で最悪の拡張機能の一つであるとは言い過ぎではありません。」
さらに、彼のサンプルテストから統計的に、彼はLinkedInによって検出できるのは約2,000個程度と考えており、これでさえ存在するブラウザ拡張機能の総数のほんの小さなサブセットに過ぎません。LinkedInがユーザーのフィンガープリント化またはプロファイリングを意図していた場合、これより良い方法があります。
「私はここに悪意を示すものは何も見られません」と彼はSecurityWeekに語りました。「それは何らかの情報を発見しています、はい、しかし、私はそれが悪意の閾値を越えるとは思いません。これは起こっていることの非常にセンセーショナルな見方だと思います。」
LinkedInがこれを行っている理由について聞かれたとき、彼は答えます。「わかりません。しかし、私にとって、これらの拡張機能全体に見られる一般的な傾向は、データスクレイピング機能を持っており、よく知られていないということです。そして、彼らはしばしば問題のあるものでした。多くの拡張機能は映画で見るような中古車販売員の雰囲気を与えてくれました」と彼は続けました。
「私はLinkedInがこれらの拡張機能から身を守るためにそれらが存在するかどうかを知りたいのではないかと思わずにはいられません。私は確かに、私のLinkedInコンタクトの一人がこれらの拡張機能を実行し、インストールされたスクレーパーでページを訪問することを望みません。拡張機能がインストールされているユーザーが私のLinkedInページを訪問することは、LinkedInが拡張機能を持っているかどうかを確認することよりも、私のプライバシーに対する方が大きな脅威だと感じています。」
これは、LinkedInがその行動に対するすべての批判から免除されていることを意味しません。LinkedInはこのプロセスをユーザーに明確にしていません。意図的にユーザーのフィンガープリント化またはプロファイリングに従事しているかどうかに関わらず、その行為は特定の司法管轄区域で違法に近い行為です。
サイバーセキュリティ、データ保護およびプライバシー法に焦点を当てた弁護士Ilia KolchenkoはSecurityWeekに述べた「このようなフィンガープリント化の合法性は事実と司法管轄区域に依存します。通知なしで商業的利益のために使用される場合、いくつかの国では犯罪行為を構成することさえあります。いずれにせよ、そのようなデータを収集するための自由に与えられた知らされた同意を持っていない場合、それはGDPRおよびほとんどの他のプライバシー法および規制に基づいて個人データの可能性が高く、データ収集は適用可能なプライバシー法の重大な侵害である可能性があります。」
LinkedInはその行動を明確にし、サインアップがプロセスへの同意であることを示すべきであると思われます。しかし、Regulyにとっては、「私が見る唯一の欠点は、LinkedInが潜在的に問題のある拡張機能がインストールされていることを通知していなかったことです。」
個人的には、彼は書いています。「管理者とセキュリティ専門家はこの啓示を祝うべきだと思います。彼らは現在、組織で必ずブロックすべき拡張機能IDのリストを持っています。」
しかし、BrowserGateについてのより扇情的な主張については、彼は結論付けています。「私はこれを大きな何も無いものとして見ずにはいられません。」
