ボット時代にも開放性とプライバシーを守ろうとするMozillaのWeb資格情報構想
(blog.mozilla.org)- ボット悪用の増加により、WebサイトはCAPTCHAやログイン要求を強化しており、正規ユーザーもアクセス時の摩擦とプライバシー低下を同時に被っている
- ブラウザーの追跡防止強化はユーザー保護に必要だが、既存サイトが悪用防止に使ってきたIPアドレスやブラウザーフィンガープリントのシグナルも弱めてしまう
- MozillaはWeb Environment Integrityのようなデバイス信頼証明が、Webアクセスの統制権を少数のOS・ハードウェア事業者へ渡してしまう危険があると見ている
- 代替案は、ユーザーの身元や発行元を明かさずに、合理的な利用上限の範囲内にいるかを確認する匿名資格情報方式である
- Cloudflareや他のブラウザー・Web関係者が共同で設計を始めており、目標はCAPTCHAや不要なブロック、自己識別要求を減らすことにある
プライバシー保護が悪用防止と衝突する地点
- Webのプライバシー保護は継続的に強化されている
- プライバシー優先のブラウザーはサードパーティCookieを廃止しつつある
- ブラウザーフィンガープリント追跡を制限し、IPアドレスを隠すことでトラッカーに対抗している
- この変化はユーザー体験に新たなコストを生んでいる
- ユーザーはより多くのCAPTCHA、ログイン要求、ブロックページに直面する
- IPアドレスやブラウザーフィンガープリントはユーザープロファイリングに使われてきたが、同時にサイトの悪用防止シグナルとしても活用されてきた
- ボットトラフィックの増加はサイト運営にも直接的な負担となる
- credential stuffingやスパムのような大規模な悪用は実害を生みうる
- 正規訪問者もより多くの摩擦と低下したプライバシーを受け入れざるを得ず、サイトは本来サービスすべきユーザーを締め出してしまう可能性がある
- 変化がなければ、ユーザーはプライバシーとWebアクセスのどちらかを選ぶよう迫られることになる
- Web Environment Integrity(WEI)のような提案は、ユーザーのデバイスとソフトウェアが「信頼できる」ことをサイトに証明させる方式である
- Mozillaは、このアプローチがデバイスの統制権をユーザーから少数のOS・ハードウェア事業者へ移してしまうと見ている
- それらの事業者が、どのデバイスやソフトウェアがWebへアクセスできるかを決めることになり、オープンWebとは逆方向に進む
匿名資格情報でレート制限を証明する方法
- ボット被害の核心は大規模実行にある
- サイトがユーザーの身元を知る必要はない
- ユーザーのデバイスが承認済みソフトウェアだけを実行しているか確認する必要もない
- 合理的なレート制限内にとどまっていることだけ分かればよい
- レート制限が効果を持つには、攻撃者が新しい身元を作って上限をリセットしにくくなければならない
- サイトがメールアドレス、連携ログイン、デバイスフィンガープリントを要求する理由も、新しい識別子を得るコストを高くするためである
- 問題は、そうした識別子が追跡にも使われうる点にある
- 既存のユーザー関係が、別サイトで静かな保証の役割を果たせる
- たとえば、サブスクリプションや長年使われているアカウントのような関係を持つサイトが、ユーザーを保証できる
- 初めて訪れるサイトは、ユーザーが上限内の実在ユーザーであることを信頼できるが、ユーザーの身元や保証元は知るべきではない
- VPNの事例は、このアプローチが必要な理由をよく示している
- 多くのWebサイトは、正規トラフィックと悪用トラフィックが混在していることを理由に、VPNトラフィックを丸ごと遮断している
- VPNサービスが加入者ごとに保証できれば、サイトは加入者単位でレート制限を管理できる
- ただし、保証システムがVPNユーザーを追跡できるようでは、VPNを使う目的が損なわれる
- AppleのPrivate Access TokensはPrivacy Passベースで使い捨てトークンを提供し、訪問間のひも付けを防げる
- Mozillaはこの方式にも重要な限界があると見ている
- WEIと同様にデバイス証明に依存しており、ハードウェアのゲートキーピングを避けられない
- より多くの主体がユーザーを保証できるようにしつつプライバシーを維持するのは難しく、統制権が少数に集中する可能性がある
- Mozillaが目指す構造は、誰でもユーザーを保証でき、各サイトが信頼する保証者を自ら選べるシステムである
- Anonymous credentials は、ある主体が発行した資格情報をユーザーが後で限られた回数だけサイトに提示できるようにしつつ、サイトと発行者の双方が利用を追跡できないようにできる
- 資格情報を誰が発行したかも隠し、信頼された発行者集合のいずれかから出たことだけを証明できる
- MozillaはCloudflareや他のブラウザーを含むWeb関係者とともに、このようなシステム設計を開始している
- より詳しいアプローチはMozilla Hacksの PACT: Anonymous Credentials for the Web で読める
- 最終目標は、CAPTCHAの削減、不要なブロックの削減、自己識別要求の削減を、プライバシーを損なうことなく実現することにある
1件のコメント
Lobste.rsの意見
ただし、タイミングのサイドチャネルは懸念しうる。複数回提示可能な匿名資格情報は、現在 Privacy Pass で展開されている使い捨てトークンよりも、この種のサイドチャネルを減らすのにかなり役立つ
ただし、「ユーザーが適切な Anchor から Endorsement をまったく持っていない場合は、CAPTCHA、アカウント作成、フェデレーテッドログインのような既存の仕組みで Credential をブートストラップできる」という部分には疑問がある
CAPTCHA は、ユーザーを長時間とどめてフィンガープリンティングする手段として以外はあまりうまく機能せず、アカウント作成やフェデレーテッドログインも結局は別の仕組みで関門を設ける必要があるため、問題を一段上に先送りしているだけだ
しかも、図書館のコンピューターから銀行にログインしようとしている人に、別のWebサイトで新しいアカウントを作れと要求するわけにもいかない。今日の「既存の仕組み」は ブラウザ・フィンガープリンティング に非常に大きく依存しているか、Apple のようにハードウェア証明に頼っているが、Mozilla などの目標がフィンガープリンティングを不可能にすることなら、これがどう機能するのか分からない
しかし、インターネットの主な問題は Shopify が詐欺で金を失うことではなく、私たちが訪れていた コンテンツが消えつつあること だ
たとえば何にでも AI をねじ込まないこと、そもそもこの混乱を引き起こした企業を支援したり成り立たせたりしないことだ。クローラーが単に止まってくれれば、こんな回避策は不要なはずだ
それでも AI がトラフィック急増を引き起こしたのは事実だが、この問題は AI よりはるかに前から存在しており、クローラーが最も深刻な問題というわけでもない。たとえば漏えいした 認証情報ダンプ を使って銀行ログインを試したり、ギフトカードやクレジットカードにブルートフォースをかけたりする問題のほうが大きい
AI が消えたとしても、私たちは 2021 年レベルの世界に戻るだけで、その時点ですでにこの問題は長年にわたって非常に深刻だった