米国家安全保障局(NSA)が、Google クッキーを利用し、監視対象者の追跡をしていた。米メディア The Washington Post が伝えている。

NSA が、監視対象者のトラッキングに Google クッキーを利用
The Washington Post による記事は、NSA の元契約社員 Edward Snowden 氏がリークした資料をもとにしており、NSA がどのようにクッキーを活用していたかについて説明している。

クッキーは、インターネット上で広く利用されている技術。広告主が利用者をトラッキングし、カスタマイズした広告を表示したり、よりパーソナライズされたユーザー体験を提供するために利用されている。

WhiteHat Security のセキュリティ研究者であり、プロダクトマネジメント部門のディレクターである Robert Hansen 氏は eWeek に対し、NSA が Google クッキーを利用していると聞いても驚かなかったと述べた。

Hansen 氏によれば、Google によるトラッキング機能は優れたものであり、政府による監視対象者の追跡に十分に活用可能なものだという。

「我々は Google は利用者を現在のような方法でトラッキングすべきではないと主張し続けてきた。トラッキングすれば、その情報が敵対者に悪用されてしまうからだ。実際のところ、トラッキング情報が少なくとも1つの政府機関によって利用されていたことがわかった現在でも、Google は利用者のプライバシーを守ることはできない。トラッキングは Google の年間400億ドルに及ぶビジネスの基盤だからだ」

Hansen 氏は、今回の件は、セキュリティコミュニティが長年に渡って警告を続けてきた、最悪のシナリオであると付け加えた。利用者をトラッキングすれば、その情報が彼らの意に反して利用されてしまうことはありうる。

The Washington Post によれば、NSA は Web ブラウザセッション利用者の嗜好を保持する「PREF ID」と呼ばれる特別な Google クッキーを利用していたという。

AccessData の企業防御アーキテクトである Lucas Zaichkowsky 氏は、PREF クッキーからは、多くの情報を収集可能だと述べた。

「非常に興味深いのは、PREF がリモートエクスプロイトに利用可能であると書かれている点だ。これは一般的な例だが、Web ページの中には、利用者が Web ページに毎回ログインしなくても済むように、ログイン情報を直接クッキーに保存して、利用者の認証に利用しているものがある」

Zaichkowsky 氏は、そのようなタイプのクッキーが盗まれた場合、NSA やその他のアタッカー組織は、パスワードなしで、その Web ページにログイン可能になると述べた。

では、利用者はどうすればよいのか?

クッキーは広く使われる、よく知られた技術である。このため、企業や個人がクッキーを利用したトラッキングから逃れるテクニックやツールも、多く存在している。Bishop Fox の Carl Livitt 氏は、利用者はブラウザプラグインを利用して、クッキーを管理できると述べた。

「だが、NSA は Google クッキーだけでなく、様々な方法を用いて監視を実施しているはずだ。本当にこの問題を解決したいなら、市民の通信を盗聴しないよう、法を改正するしかない」

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。