2 ポイント 投稿者 GN⁺ 2025-08-21 | 1件のコメント | WhatsAppで共有
  • 米国のビザ申請ウェブサイトがユーザーのネットワークポートスキャンを試みている
  • 一部の利用者が、ウェブサイト接続時に予期しないネットワークトラフィックを観測した
  • このようなポートスキャン行為の目的をめぐって議論と安全性の問題が提起されている
  • 一部では、これをセキュリティ検証のための手続きではないかと推測している
  • プライバシー保護および過度なネットワークアクセスに対する懸念が広がっている

米国ビザ申請サイトのネットワークポートスキャン騒動

米国のビザ申請ウェブサイトにアクセスした複数のユーザーが、そのサイトがユーザーのネットワークに対してポートスキャンを試みる現象を発見した。これにより、ユーザーはブラウザ経由でサイトにアクセスする際、普段とは異なるネットワークトラフィックが発生していることをログなどで確認した。

主な疑問点

  • このようなポートスキャンの試みが、セキュリティ強化のための検証手続きなのか、それとも別の目的があるのかについて明確な案内がない状況が生じている
  • セキュリティ専門家は、この方式が悪意のあるボットやプロキシサーバー、VPN利用者をふるい分けるための事前チェックである可能性に言及している
  • しかし、機密性の高い個人情報を入力する公共ウェブサイトで、事前の同意なくネットワークポートにアクセスする行為がプライバシー保護の原則に反するのではないかという論争が広がっている

コミュニティの反応と懸念

  • 一般利用者は、意図しないネットワークアクセスに対する不安を示している
  • ポートスキャンが悪意ある行為と類似している点から、サイトの信頼性に疑問が呈されている
  • 一部では、この動作が米国政府の公式サイトで行われた点から、論争がさらに大きくなっている

セキュリティとプライバシー保護の問題

  • ユーザーの権限なしに行われるネットワークポート探索は、過度な権限侵害にあたる可能性がある
  • このような方式が実際にセキュリティ向上に役立つのかについて、技術的効果の議論が必要である
  • 関連ガイドラインの不在や、利用者の同意手続きの不十分さが問題として指摘されている

結論と示唆

この事例は、公共機関のウェブサイトがセキュリティを目的として新たな技術的手法を導入するにあたり、プライバシー保護と技術的安全性の間でバランスを模索する必要があることを示唆している。また、ユーザーに対する明確な案内と透明性の確保が、今後の重要な課題として浮上している

1件のコメント

 
GN⁺ 2025-08-21
Hacker Newsの意見
  • ビザ申請の過程には、ありとあらゆる詐欺が多い。単に2倍の料金を請求するサイトから、申請者が却下されたと偽って申請者名義の偽書類を作るサイトまである。だからビザシステムでは、利用者が本当に人間なのか、それとも中継サーバーやC2チャネルを使う詐欺師なのかを確認しようとしているように見える
    • 本当にひどいWebサイトにしては、そうした防御はかなり賢いアプローチだ。私のパートナーはトルコ国民で最近ビザ申請をしたが、30分以上かけて丁寧に入力したのにセッションが切れて全部失われた。アカウントを作っていなかったり、現在の申請IDを書き留めていなかったりしたら救いようがない。その過程で .gov ではない怪しいサイトにリダイレクトされることもあり、最初は詐欺だと思ったが実際にはそうではなかった。こんな悪夢のような過程を少しでも楽にする有料サービスが生まれるのも理解できる。関連書類の受付はほとんど VFS Global が処理するが、この会社自体にも問題が多く、形式上の代行にすぎず実際には助けにならない。最近 EU はトルコ国民向けの Schengen ビザ申請手続きを簡素化したが、その理由はビザ公式代行業者がむしろ「良い時間帯」の予約を闇市場で売る詐欺をしていたからだ。米国も EU も待ち時間が長く、奨学金の機会など大切なチャンスを失うことが多い。そこに文字変換やエンコーディングの問題のような細かいが複雑な問題まで山積みなので、実際に役立つ AI エージェントのようなものが登場すれば、この市場には機会があるのではないかと思う
    • インドのビザシステムも似ている。公式の .gov.in サイトは見つけにくく、ビザは10ドル程度で簡単に取れる。SEO だけうまい詐欺サイトは、まったく同じものを80ドルで売り、実際の申請内容は公式サイトへ中継するだけで差額を取っている。インド政府がこうした詐欺師を遮断してくれればよいが、当面の優先事項ではないようだ
    • ネットワークには詳しくないのだが、ポートスキャンでどうやって詐欺師だと検出できるのか気になる
    • その方法が本当に可能なのか、あまり想像がつかない。こうした「スキャン」がクライアント側の JavaScript で実行されるなら、ファイルをプロキシサーバーへ送るからといって、そのプロキシについて何か検出できるとは思えない
  • この機能は F5 のスクリプト由来で、F5 はアンチボットのセキュリティソリューションを販売する会社だ。(/TSPD というパスから難読化されたスクリプトが読み込まれ、これが F5 固有の要素だ)
    https://www.f5.com/
    • TS は昔 F5 が買収した TrafficShield の略に見え、PD はおそらく Proactive Defense の略だと思う
  • uBlock Origin に「Block Outsider Intrusion into LAN」というデフォルトリストがあることを最近知った。本当に有用な情報だ
    • github の機能要望を見て、なぜこうした機能が必要なのか気になった。ブラウザが実際にローカルネットワークへのアクセスを提供している、あるいは提供すべき理由がよく分からない。mDNS トラフィックなど、ソケットに結び付いたものへ接続するときにこうした種類のリクエストをいくつか見たことがあり、可能性としては思い当たる
      https://github.com/uBlockOrigin/uAssets/issues/4318
    • こういうアクセスが許可されていること自体に衝撃を受ける。なぜ訪問するすべてのWebサイトが自分のローカルネットワークにアクセスできるよう許される、という発想が成り立ったのか不思議だ
    • uBlock Origin では js 機能が徐々に削られているが、lite 版でもこの機能が提供されるのか気になる
    • このオプションを有効にしたら、自分のセキュリティ水準が大きく向上した。みんなに感謝する
    • 私もこの機能があることを知らなかったが、ノートPCとモバイルブラウザではすでに有効になっていた
  • ブラウザがどうしてこんなことを許しているのか、そしてなぜマイクへのアクセス権のようにユーザー同意を求めないのか理解できない。任意のWebサイトが自分の LAN でポートスキャンを行えるかもしれないということ自体が危険すぎる。こういうものは「機能」ではなく、セキュリティ脆弱性と見なすべきではないだろうか
    • Chrome ではこうしたアクセスは許可されていない。ローカルネットワークサービスに外部サイトからアクセスするには opt-in が必要で(
      https://github.com/WICG/private-network-access
      )、これをユーザー同意ベースへ移行している途中だ(
      https://github.com/WICG/local-network-access
      )。PNA が実際にデプロイされたのかは議論があるが、数年前に自分は stable Chrome で実際に体験したことがあり、正確な最新状況はよく分からない。Firefox はこうしたアクセスをサポートしていない。開発リソース不足のためだと推測している
  • 私は uMatrix を使っているが、デフォルトではリクエスト先サイトおよび上位ドメイン以外のすべての接続が遮断される。たとえば mail.yahoo.com を訪れた場合、yimg.com などは手動で許可しなければならないので、この種のポートスキャンやプロファイリングは通らない。最初はとても不便だったが、数か月かけてホワイトリストを育てた結果、訪れるサイトの 90% が含まれるようになった。私のシステムでは ceac.state.gov/genniv/ が captcha.com、Google Analytics、Tag Manager、127.0.0.1、「burp」(自分のネットワークには存在しないローカルホスト名) への接続を試みる。興味深いことに、ブラウザコンソールでは localhost や burp への試行はあまり見えない。127.0.0.1 を許可して tcpdump で見ると、ポート 8888 へ接続しようとするトラフィックが見つかった(そのポートは開いていない)
    • uMatrix が Facebook のトラッキングピクセルや、最近その代替として出てきた Conversions API Gateway も防げるのか気になる。Conversions API Gateway はコンテナ形式で自分のドメイン(メインドメインでも可)配下にホストし、サーバー側からユーザーデータを Facebook に渡す方式だ。JS さえ埋め込めばデータはすべて渡ってしまう
    • uMatrix は現在アーカイブ済み(サポート終了)で、今は uBlockOrigin を高度な設定を有効にして使うのが推奨されている(この構成が uMatrix の機能を吸収している)。さらに強く防ぎたいならハードモードに設定し、ショートカットを使って relax blocking モードへ切り替えるのも勧める。フィルターリスト(特に yokoffing/filterlists や地域・言語別リスト)もぜひ使った方がよい
      https://github.com/gorhill/uBlock/wiki/Blocking-mode:-hard-mode
    • Burp Suite がWebアプリに接続されているかどうかを確認しようとしている意図があるようだ
    • どうやって 127.0.0.1 へのリクエストをネットワークタブから隠しているのか気になる
    • burp は実際には
      https://portswigger.net/burp/documentation/desktop/tools/proxy
      にも言及されている Burp Suite のことだ。サイト解析を難しくしようとしているように見える
  • ある種の拡張機能は「すべてのサイトのデータにアクセス」という権限を要求する。有名企業や信頼できる開発者でもない限り、こうした権限を与えるのは理解できない。特に "Hacks and Hops" という拡張は
    https://g666gle.me/
    という存在しないドメインをホームページにしている。こんな拡張はどれほど魅力的に見えても絶対にインストールしない
    • こういう矛盾した現象は HN のようなフォーラムではほとんど普遍的だ。この拡張を入れた人は正気なのかと思う。「プライバシーをインストールできる」という幻想に過度にのめり込み、むしろ VPN を装ったルートキットや無作為な拡張機能をダウンロードしてしまう消費者が多い。もし詐欺拡張を入れてしまったなら、最低限の対処は PC を焼いて車でひきつぶし、すべての口座を作り直し、完全に新しいデバイスでパスワードを再設定することくらいだ
  • こうしたポートスキャン、デバイスフィンガープリンティング、anti-anonymity SaaS は多くのサイトで行われている。Ebay も Facebook もやっている。ただ今回は、広告ブロック自体をブロックしようとする一次的な目的が大きい。1MB サイズの難読化されたフィンガープリントに加え、ポートスキャンと WebGL まで動員されている。特徴的なのは Burp Suite のパスを探そうとする試みがあることだ
    • こうした攻撃に対して自分のネットワークをどう強化すればよいのか気になる
    • 新しいカード登録用Webサイトで、まったく同じポートスキャン方式を経験したことがある
  • 今回の「ポートスキャン」は 127.0.0.1:8888 へのローカル接続の試行程度だった。正確に何のためかは分からないが、政府系Webサイトでは文書の電子署名用ネイティブソフトウェアと通信するためにこの方式を使うことがある。他の IP への接続試行もあるのか気になる
    • カードリーダー、デバッグサーバー、あるいは開発者のミスでもこういう現象は起こりうる。私の経験では、開発環境で外部ホストの代わりに localhost に焼き込まれた URL を含んだまま配布されたこともある。彼らが 8888 番ポートをローカル開発サーバーに使っている可能性もあり、それほど驚くことではない
    • これは、ユーザーの端末(ローカル)にWebサーバーがある場合、データ収集やトラッキング目的で接続を試みている可能性が高い。以前 Facebook/Meta も Android で似た方式による追跡が明らかになったことがある(メッセンジャーや Instagram を通じ、Webサーバー経由でトラッキング)。以下参照
      https://news.ycombinator.com/item?id=44169115
      https://news.ycombinator.com/item?id=44175940
  • こういう状況では、Webサイトがカードリーダーなどのローカルポートへの接続を試みるのは、むしろ当然かもしれない。一部または大半の EU 諸国では、ID カードや車両登録カードのチップで認証や行政手続きにアクセスするが、以前は Java + Internet Explorer のみ対応だったものの、IE が終了して Chromium に移行して以降はどうしているのか分からず、最近は使っていない
    • 今では、ブラウザとスマートカードドライバーの間をつなぐローカルサービスのインストールが必要だ。昔 Java アプレットが担っていた役割をブリッジサービスが果たす。カード専用ドライバーとブリッジサービスがセットでインストールされる
    • 一度、iPhone/Android アプリでパスポートの NFC チップを読み取れと要求されたことがある。これが IE/Java の現代的な代替なのだと思う
  • こうした慣行を知らなかったのが少し恥ずかしいくらいだ。フィンガープリンティング以外に追加の悪用目的があるのか気になる
    • 実際に Facebook は Android でこうした方式を使ったことがある。Meta の Android アプリが localhost にサーバーを立て、ブラウザ保護で遮断された追跡情報をローカルサーバー経由でやり取りしていた。確かにフィンガープリンティングではあるが、その最も極端な活用と言える
      https://news.ycombinator.com/item?id=44169115
    • 脆弱な URL を持つルーターがあるかもしれない。"router authentication bypass" で検索すると事例が出てくる
    • macOS Safari のコンソールでサイト訪問時にこうした
      https://files.catbox.moe/g1bejn.png
      現象が捉えられた。ポート 8888 が具体的にどのサービスで使われるのか気になる
    • 主にトラッキング目的で使われるが、もしユーザーが localhost 上で機密性の高いサービスを運用しているなら、データ流出に悪用される可能性もある
      https://www.digitalsamba.com/blog/metas-localhost-spyware-how-webrtc-was-abused-and-how-to-stay-safe