AT&Tは、いわゆる「クッキージャーに手を入れてしまった」という状況に陥った。同社は空港のWi-Fiホットスポットの一つで広告挿入のテストを行っていたが、専門知識を持つ米国有数のプライバシー擁護団体の一人が立ち寄っていたのだ。ジョナサン・メイヤー氏は火曜日に自身の体験を記事にまとめ、AT&Tは水曜日に、これは「実験」であり、既に中止したと発表した。
広告を一切掲載していないサイト(学術機関や政府機関)や、すでに広告を掲載しているサイトが、下部に広がるバナーや、一定時間が経過しないと閉じないポップアップ広告など、さらに多くの広告を掲載していることに、メイヤー氏の好奇心が刺激された。
AT&TはウェブページにJavaScriptを挿入し、それを傍受してリアルタイムで書き換え、サードパーティの広告ネットワークのコードを使ってオーバーレイ広告を配信していました。AT&Tは広報担当者による声明で次のように述べています。
当業界は、無料Wi-Fiの体験と経済性のバランスを常に模索しています。ダレス空港とレーガン・ワシントン・ナショナル空港の2つの空港で、期間限定の広告プログラムを試験的に導入しましたが、終了しました。この試験運用は、安全で安心、かつ高速な無料Wi-Fiサービスを提供するための代替手段を模索する継続的な取り組みの一環です。
それは決して始まるべきではなかった。
目に映るものをいじくり回す
AT&T の行為にはさまざまな問題点がある。
情報開示。私の知る限り、無料Wi-Fiを利用することでページを傍受されることを明示的に開示したり、オプトイン手続きを経たりしたことはありません。AT&Tの声明にもプライバシー開示情報にも記載されていませんでした。
リスク。ウェブページにJavaScriptを挿入すると、責任あるユーザーが、身に覚えのないハッキングされたサードパーティ製サーバーや、マルウェア広告を広告ネットワークに挿入して配信する犯罪者の被害に遭うリスクが劇的に高まります。Yahoo!の広告ネットワークは、ほんの数週間前にまさにこの目的で攻撃を受けました。
信頼。数十億ドル規模の企業が、数ドルの利益のためにプライバシーと完全性の限界を押し広げるようなことはすべきではありません。たとえ年間数百万人のWi-Fiネットワーク利用者がいても、こうした広告は、運営コストとAT&Tがブランド化によって得る利益の規模を考えると、それほど大きな収益を生み出すことはできません。
コンテンツの妨害。広告が掲載されたサイトは、第三者ネットワークではなく、問題のサイト自身によって配信されているように見えるため、民事、あるいは刑事告訴、あるいは連邦機関への通報の根拠となる可能性があります。サイトに表示される内容を制御できないことは、重大な責任違反、賠償責任違反、その他の違反にあたります。(メイヤー氏の投稿では詳細が説明されており、さらに読むためのリンクもいくつか掲載されています。)
これはユーザーをより安全なネットサーフィン習慣へと導くことに繋がり、私もその効果を支持します。ウェブページの読み込み時に広告を挿入するには、そのページが暗号化されていない状態であり、かつ特定のデバイスでネットワークの読み込みが許可されている必要があります。AT&Tだけがこのテストを行っているわけではありません。他の企業も定期的に軽量版をテストしたり、ユーザーの行動をスキャンしてより効果的なマーケティングを行ったりしています。
安全なブラウジング
スノーデン後の時代(私がよく書くフレーズですが)では、世界はほぼあらゆるメディアで常時暗号化された接続へと移行しつつあります。電子メールは自然な流れで、時間がかかりましたが、現代のモバイルデバイスやデスクトップOSのメールクライアントでメール接続を設定する際に、送受信の暗号化を行わないことはほぼ不可能です。
ウェブは遅れをとっています。メール利用者はメールホストに比べて、より多様なサイトを訪問するユーザーの割合が高いからです。多くのウェブホスティングサイトでは、SSL/TLSプロトコルを使用するhttps暗号化を追加料金がかかるアップグレードとして扱っています。多少のオーバーヘッドはかかりますが、数年前に比べれば大幅に軽減されています。しかし、これも変わるでしょう。
HTTPS Everywhere は、Chrome、Firefox、Opera ユーザーに、可能な限り安全な接続を確保するためのコントロールを提供します。
電子フロンティア財団(EFF)の取り組みにより、HTTPS Everywhereプラグイン(Torプロジェクトとの共同開発)が誕生しました。このプラグインは、デスクトップ版Firefox、Chrome、Opera、そしてAndroid版Firefoxで使用できます。この拡張機能は、認識したサイトの暗号化バージョンに優先的に接続します。私は長年愛用しています。
ウェブのより基本的なレベルでは、サーバー管理者はシステムを設定してhttpsのみでフィードするようにしたり、サイトのhttpsバージョンが利用可能であることを通知したりできます。(これはHSTSと呼ばれ、現在広く使用されているすべてのブラウザがサポートしています。)ブラウザは、これらのセキュアバージョンを優先的に選択する方向に急速に移行しています。多くのサイトがhttpsのみに移行しており、EFFは小規模サイトの複雑さとコストの削減を支援するLet's Encryptという別のプロジェクトも進めています。
仮想プライベートネットワーク(VPN)接続を利用することもできます。VPNは、すべてのトラフィックを暗号化されたラッパーで包みます。カフェや空港など、ローカルネットワークのスニッフィングを防ぐ方法として一般的に推奨されており、広告やマルウェアのコードインジェクションも防ぎます。最近、MacとiOSクライアントを備えたVPNサービスをいくつか紹介しましたが、現在利用可能なVPNサービスは数十種類あります。
また、iOS 9 がコンテンツ ブロッキング フィルター拡張機能とともにリリースされ、El Capitan にも含まれるようになると、インジェクション用に設計された広告ネットワークをブロックするのは簡単になります。すべての広告ネットワークをブロックしない場合でも、プライバシーと侵入の削減のみを目的として設計されたコンテンツ ブロッカーをインストールし、永続的にオンにしておくことになるでしょう。
AT&Tの失策は、表向きは「ホワイトハット」企業によるこのようなコード注入が実際に可能な最後の機会だったと言えるかもしれない。セキュアなウェブ接続がデフォルトで増加し、プライバシーを強化する広告ブロック技術が台頭している現状を考えると、近い将来、セッションを乗っ取られ、このように書き換えられる可能性のあるユーザーはごくわずかだろう。
(情報開示: 私は JiWire での勤務を通じてごく少数の株式を保有していますが、同社は現在ではその名前では運営されていません。同社はかつて、空港利用者に無料 Wi-Fi アクセスを提供する代わりにオプトイン広告を配信する広告ネットワークを運営していました。)
