Defend what you create

その他

  • free.drweb.co.jp: 無料ユーティリティ、プラグイン、インフォーマー
  • av-desk.com: Dr.Web AV-Deskサービスプロバイダーのためのインターネットサービス
  • curenet.drweb.co.jp:ネットワーク修復ユーティリティDr.Web CureNet!
閉じる

マイライブラリ
マイライブラリ

+ マイライブラリに追加

電話
24時間体制サポート | テクニカルサポート利用方法

お問い合わせ履歴

電話する

+7 (495) 789-45-86

Profile

ニュース一覧に戻る

コラム : トラッキング画像とJavaScriptを活用した情報漏えいの危険

2017年8月1日

株式会社Doctor Web Pacific


怪しいメールに添付されたファイルを開くことの危険性はよく知られていますが、メッセージ内に画像があった場合、その画像は何らかの害を与えてくることはあるのでしょうか? 今回は画像によって起きる危険をテーマに取り上げます。

#drweb

この画像にある赤い十字は、画像が何らかの事情で表示されなかった場合に表示される1ピクセルのイメージ画像ですが、こういった1ピクセルの画像は様々なシーンで使われています。

レスポンシブウェブデザインでは、ページがロードされている間、この類の画像がブラウザに一時的に表示されます。ほとんどのブラウザはHTTPクライアントヒントをサポートしていません。そのため、JavaScriptを使用して、適切なサイズの画像が完全に表示されるまでの間、1ピクセルの画像に置き換えて表示させることがあります。

また、1ピクセルの画像をデフォルト画像として使用することもできます。何らかの理由で必要な画像が見つからない場合は、404メッセージを表示させるよりも、別の画像を表示させるほうがよい場合があります。ユーザーは本来見れたはずの画像を見ることは決してできませんが、画像が破損していることなどを示す画像アイコンを置き、その事実を強調しない方がビジネス上ふさわしいようです。

さて、こういったピクセルサイズの画像は、トラッキングピクセルと呼ばれるウェブビーコンとして使用されることがあります。たとえば、画像をダウンロードしたことにより、メッセージが開かれた時期とIPアドレスと画像を要求したホストの名前を知ることができます。メールマーケティングの効果を計測するためにマーケティング担当者が使うこともありますが、スパム業者や詐欺などの犯罪に使用されることもある手法です。

この手法を利用すると、特定の電子メールアドレスが使用されているかどうかを判断できるため、スパマーにとっては有益な情報になります。さらに追跡することで、ターゲットが使用しているOSを特定し、Cookieファイルと受信者のメールクライアントに関する情報を取得するなど、より多くのことを知ることができます。

これを読んでいる方は、どんなJavaScriptが関係しているのかと疑問に思われたと思います。画像の要素には、画像だけでなく、システム情報を収集することを目的としたJavaScriptコードも組み込むことができます。例えば、画像を適切なサイズに拡大縮小できるように画面サイズを知らせることを要求することができるものがあります。不正行為者がJavaScriptを使用することができるなら、その情報だけではなく、彼らが必要な情報を収集したり、ファイルをアップロードしたり、厄介なことをすることもできます。

画像の要素も隠すことができます。 実際、そういった画像はちょうど1ピクセルの大きさにされている可能性があります。彼らは透明にすることも、背景色にすることもできます。あなたは分析されていても、手がかりがないので気づけません。

トラッキング用の画像はウェブサイトでよく見ます。そして、その機能のいくつかは本当にユニークであるように見えます。

サイトAが、サイトXからユーザーデータを収集する特定のイメージ (おそらくサイズが1ピクセルで透明) を表示しているとします。その後、ユーザーがサイトXと同じイメージを持つサイトBに行くと、ブラウザはイメージをダウンロードせず、そのキャッシュに保存されているコピーを使用します。したがって、サイトXはユーザーが以前にサイトAを訪問したことを認識します。そのため、キャッシュを無効にすればWebの匿名性が維持されます。

また、攻撃者がスクリプトを使用してサイトを侵害し、ホームページの画像を置き換え、サイトを危うくする危険性が常にあります。

今後このような危険を避けるために私たちは何をすべきでしょうか?

#JavaScript #cookies #monitoring #surveillance #security

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。

1992年に製品の開発をスタートしました。

Dr.Webは世界200ヶ国以上のユーザーに利用されています。

2007 年、アンチウウイルスサービス(SaaS)の提供が開始しました。

24時間体制サポート

© Doctor Web
2003 — 2019

Doctor Webは、ロシアに本社を置く、『Dr.Webアンチウイルスソフトウェア』のデベロッパーです。その製品の開発は1992年に始まりました。

株式会社Doctor Web Pacific 〒105-0003 東京都港区西新橋1-14-10 西新橋スタービル 2F