とあるスマホ向けブラウザアプリがユーザーが思ってるより多くの閲覧情報を外部に送信していたことで話題になっています(#1)。また少し前にはとある機能拡張がマルウエアになりました(#2)。こんな状況でいったい何を選べばいいのかって質問が来ました。
「外部に想定外の情報が送信されないようにするためには何を選べばいいのか」について、個人的な意見を書いておきます。
参考にならないように思いますが、「信頼できそうなものを選ぶしかない」と考えています。
(#1)スマホ用ブラウザー「Smooz」、外部への情報送信が発覚しストアでの公開を停止中【やじうまWatch】 – INTERNET Watch
(#2)Nano Defenderがマルウェアになっちゃいました | 280blocker
ブラウザ
今回のような外部へ情報を送る事は他のブラウザでも起こりえます。たとえオープンソースで中身が公開されているアプリでも、消費者に提供されるパッケージにのみ外部へのみこっそり情報送信する機能を追加されてしまえば気づくことが困難です。
となると、開発元が信頼できる世界的に有名でブラウザを選ぶしかないと思います。世界的に有名なブラウザであればおかしな挙動をしたら気づかれるのが比較的早いと考えるためです。
具体的には、Chrome(Google)、Firefox(Moziila)、safari(Apple)、Edge(microsoft)などです。
どの開発元が信頼できるかどうかは個人個人によって多少考え方が異なりますし使い勝手や機能も違うので、どのブラウザを選ぶかは好みもあるかと思います。
個人的には個人情報保護の点ではAppleを一番信頼しています。Appleは個人情報を利用する事で収益を上げているわけではなく、しっかり利益が出ている事から比較的安心できると思っています。ただブラウザ自体は機能的に他社にやや劣る点がああります。
Mozillaについては経営が安定してないのが気がかりです。(#3)
Googleは個人情報を取得する事が収益向上につながるビジネスモデルですので、そのあたりは多少心配だなあと思っています。ただ機能的には良いのでChromeは利用しています。
(#3)【Infostand海外ITトピックス】「変わるMozilla」 大規模リストラから新しい道を模索 – クラウド Watch
Chrome,Firefoxの機能拡張
ChromeやFirefoxの機能拡張はユーザーの閲覧したサイトの情報を自由に見られ外部へ送信できますので要注意です。
機能拡張の開発元が信頼できるかが一つの判断材料になります。
また機能拡張に設定されている動作するサイトが必要最小限に正しく設定されているものは比較的安心できます。例えば、amazon価格追跡で有名なKeepa (Chromeウエブストア)はamazonドメインでしか動かないように設定されています。これをまず確認すべき事と思います。
逆に例えばTberというtverの広告ブロック機能拡張(Chrome ウエブストア)アプリは、tverのサイトだけではなくすべてのサイトでサイトの書き換えができるように設定されています。こういうのは要注意です。ちなみにこの機能拡張はamzonリンクに開発者のアフィリエイトリンクが付加される仕様のためこのような仕様になっています。
また継続して提供するためには、開発者にある程度の安定した収益がある事も大事だと思いますが、機能拡張には課金システムがありません。
昔は信頼できて良い機能拡張だったものでも数年たつと放置され、気づけば買収されてアフィリエイトリンクが自動挿入されたり、勝手にURLに飛ばされる機能拡張になってしまった例はたくさんあります。
Chrome,Firefoxの広告ブロック機能拡張
広告ブロックの機能拡張は全てのサイトで機能する事が求められますから悪意があればとても危険な事ができます。nanoDefenderがマルウエアになって勝手にinstagramでいいねを押した事件は記憶に新しいかと思います。(Gizagineのニュース)
私がublock originを使っているのは、開発者のgohill (Raymond Hill)を信頼しているというそれだけの理由です。
ちなみにAdgaurdであれば、CTOのAndrey Meshkovを信頼しているからです。
開発者への信頼だけで成り立っている仕組みってって、とても脆くてとても危険な状態と考えます。開発者が突然ダークサイドへ堕ちる事までは予想できませんし。この状態は好ましいとは思いません。
Chromeについてはmanifest V3という仕組みが導入されることで危険性が減る予定です。これにより少々広告ブロック性能が落ちることが懸念されていますが、私は安全性の向上の方がメリットが大きいと思います。
Appleのコンテンツブロッカー機能
コンテンツブロッカーはセキュリティ的にはとても良い仕組みです。
Appleによる制限のために、コンテンツブロッカーアプリではユーザー情報が何も取得できないように制約されています。開発者にはユーザーが閲覧しているURLも何も取得する事ができません。データの節約量などもわかりません。
外部へ情報漏洩されないという点では、ユーザがコンテンツブロッカーの開発元を信頼する必要がなくとても良い仕組みです。
samsungブラウザのコンテンツブロッカーについても同様に安心して使えます。
(とはいえコンテンツブロッカー以外の機能がブロックアプリに付加されているときにはある程度の注意は必要です)
VPNについて
ネット広告でVPNアプリがよく宣伝されていて使った方が安全そうに思えますが、ほとんどの方にとってはVPNアプリは使わない方が安全です。(端末内に仮想VPNを作る広告ブロックアプリは除く。)
VPNを使用するとユーザーの全ての通信が業者のVPNサーバーを通過しますから業者は簡単にユーザーデータを使って収益化できます。業者がこっそりデータを不適切に利用して収益化してもユーザが調べる方法がありません。
どうしても使うならCloudflare Warpや、Proton VPNなどが有名かなと思いますが、それでも万が一の事があれば重要な情報が流出する可能性があります。
私自身はVPNアプリは全く使っていません。
Sensor Tower、VPNや広告ブロックのアプリを利用してユーザーデータを収集か – CNET Japan
結論
VPNアプリは使わない、ブラウザや機能拡張は信頼できそうなものを使う。
「信頼できそう」っていうふんわりした基準でしか選べないのは望ましい状態ではないため、ブラウザや機能拡張の仕組み自体に何らかの改善が必要と思います。
