匿名モードとしても知られる「プライベートブラウジング」は、エッチなサイトを見る以外にも有効な使い道があります。
オンラインバンキング、健康に関するサイト、保険会社のサイトなど、個人情報を扱うサイトでこのモードを使えば、保存されるべきではない個人情報がハードディスクに保存されるのを防いでくれるのです。
あなたの個人情報は、保存され、取り出せる状態になっているかもしれない
訪問したサイトが個人情報を保護するHTTPSやSSLなどの暗号化プロトコルを使用していた場合、サイトで表示した顧客番号や口座残高、処方薬の履歴、支払済み小切手の画像、明細書、信用調査書などの情報は、ブラウザを閉じたら消去されると思っていませんか?
残念ながら、そんなことはありません。セキュリティ企業のIndependent Security Evaluators(ISE)が先ごろ実施した調査では、対象となった30のサイトのうち、70%にあたる21のサイトが、個人情報をユーザのディスクキャッシュに保存していることがわかっています。そのようなサイトとしては、米携帯電話会社のVerizon Wireless、オンライン決済会社のPayPal、保険会社のAllstate、信用調査会社のEquifax、証券会社のScottradeなどがあります。
つまり、誰かとコンピュータを共有したり、ノートパソコンが盗まれたりした場合、個人情報が危険にさらされるということです。調査を行ったISE社は、次のように述べています。
暗号化されていないキャッシュデータが個人のマシンに保存されているだけだからといって、この事実を軽視することはできません。マルウェアへの感染、ノートパソコンやモバイル機器、バックアップメディアの盗難、「クラウド」を使ったバックアップサービスのセキュリティ侵害、マシンやユーザーアカウントの共有など、個人情報がキャッシュから漏洩してしまう可能性はいくつもあります。また当然ながら、図書館やホテル、インターネットカフェなどでコンピュータを共有している場合にもリスクが高まります。
個人情報は、コンピュータに保存され、簡単に取り出せるようになっているのです(たとえあなたがそのことを知らなくても)。
プライベートモードで対策をする
この問題の原因となっているのは、キャッシュデータの保存に関するウェブブラウザとウェブサーバーのやりとりです。
ここで話題になっている金銭に関わるサイトでは、標準的な「Cache-Control: no-store」というヘッダを使って、コンテンツをキャッシュに保存しないよう、ブラウザに指示を出すことになっています。
ところがISEの調査によると、キャッシュに関する指示をまったく送信していないサーバーや、「no-cache」というヘッダで指示を出しているサーバーがありました。これはInternet Explorerでのみ有効な旧式の指示形式で、ChromeやFirefoxでは機能しません(原文ママ)。さらに、これら3つのブラウザでは、HTTPS接続のサイトであってもデータをキャッシュに保存することがデフォルトで有効になっています。要するに、ブラウザとウェブサイトの関係自体に多くの問題点があるのです。
個人情報がディスクに保存されるのを防ぐ方法は、2通りあります。もっとも簡単なのは、金融サイトなどの個人情報を扱うサイトでは「プライベートブラウジングモードを使用する」方法で、もうひとつは、「暗号化されたサイトでのキャッシングを制限する」方法です。
また、ISE社では次のような設定をすすめています。
エンドユーザー向けの設定:使用しているブラウザによって、以下の設定に変更することをお勧めします。 Internet Explorer:Internet Explorerは多くの場合、ウェブアプリケーションが出す「データをキャッシングしない」との指示に従います。キャッシュに保存されるデータをさらに制限するには、「インターネットオプション」を開いて、「詳細設定」タブの「セキュリティ」で「暗号化されたページをディスクに保存しない」にチェックを入れます。ただし、このオプションを有効にすると、HTTPS接続のサイトからファイルをダウンロードができなくなるなどの望ましくない影響が出る場合もあります。あるいは、「InPrivateブラウズ・モード」を使います。 Firefox:ISEが提供するFirefox用アドオン『HTTPS Caching Controller』をインストールします。インストールするとツールバーにボタンが追加され、SSLで接続したコンテンツをキャッシングするかどうか、いつでも切り替えることができるようになります。このアドオンは、デスクトップ版のFirefoxのみをサポートしています。手動で設定する場合、またはモバイル版で設定する場合は、ロケーションバーに「about:config」と入力して表示されるページで、「browser.cache.disk_cache_ssl」とという設定名をダブルクリックして、値を「true」から「false」に切り替えます。あるいは、「プライベートブラウジングモード」を使用します。 Chrome:Chromeでは、HTTPS接続サイトのデータのキャッシングを簡単に制限する設定が見つかりませんでした。設定を行う代わりに、「シークレットモード」を使います。 Safari:この記事を書いている時点では、デスクトップ版でもモバイル版でもSafariはHTTPSで転送されたコンテンツをキャッシュしないので、設定を変更する必要はありません。上記の予防策を講じるほかにも大切なことがあります。自分が管理していないコンピューターや機器からは、アカウントに関連したサイトや個人情報を扱うサイトに絶対にログインしないようにしてください。
ブラウザを閉じた時に、あるいは設定したスケジュールに従って、キャッシュを消去することもできます。例えば、ウェブを閲覧したあとに『CCleaner』を実行したり、ブラウジングセッション後に実行する消去スクリプトを作成したりする方法があります。Firefoxのユーザなら、ブラウザを閉じた時に自動でキャッシュを消去する設定にできますし、Chromeのユーザーは『Click & Clean』という拡張機能を使えば同じことができます。すべてのブラウザで使える手動でキャッシュを消去する方法は「WikiHow」のサイトで手順が紹介されています。ただし、この方法を使うと、標準のHTTPサイトからのデータもすべて消去されてしまいますのでご注意ください。
ブラウザとウェブサーバーがきちんと連携できるようになるまでは、少しくらい手間をかけても、個人情報が暗号化されていない状態でコンピューターに保存されないよう、安全策を取るほうが賢明でしょう。
Industry-wide Misunderstandings of HTTPS | Independent Security Evaluators via LA Times
Melanie Pinola(原文/訳:兵藤説子、吉武稔夫/ガリレオ)
