グーグルのプライバシー保護対策はホンモノか？

　Googleはプライバシーに真剣だ。格好のターゲットになりやすいことから、さまざまな点で、他社よりプライバシー問題を強く意識していることがうかがえる。たいていの場合は、脆弱性に対応するまでの時間も非常に短い。とはいえ最近は、Googleのサービスに対するクロスサイトスクリプティング（XSS）攻撃の脅威が取りざたされる機会が増えている。われわれが把握しているセキュリティホールは、あくまでも公式に発表されたものだけで、公になっていない脆弱性はほかにも多数存在し、ユーザーやGoogle自身の知らないところで悪用されているはずだ。

　XSSは、ハッカーがウェブサイトにコードを挿入し、ブラウザのcookie情報などを収集するのに使うテクニックである。盗んだcookieはブラウザセッションを乗っ取るのに利用でき、攻撃者はそこからさらに個人情報を探したり、脆弱性の程度にもよるが、アカウントへの完全なアクセス権を奪ったりするのである。

　ウェブサイトを閲覧するだけで攻撃の対象になりえることから、こうした事態はあらゆるユーザーに影響をおよぼすと言える。ユーザーには見えない（おそらくはハッカーが仕込んだ）たった1行の悪質なコードが、運営者の知らない間に同サイトへの全訪問者を危険にさらすことがあるため、普段は信用できるサイトでも危険な存在になるかもしれないのだ。

　Googleが有能なXSS事前検知チームを社内に据え、同社関連のXSS攻撃が報じられなくなるまでは、われわれユーザーの情報は完全に安全とは言えない。同社には、こうした脆弱性をいち早く発見し、製品がリリースされる前にバグを修正する術を持つ人材を雇用する必要がある。彼らが開発している自動化ツールだけでは、明らかに不十分なのだ。

　何もGoogleばかりがXSS攻撃の標的となっているわけではないが、彼らがユーザーのプライバシーを守る頼りがいある相棒的なポジションを得たいなら、プライバシー保護を声高に叫ぶ前にすべきことがあると思う。例えば、「Google Toolbar」の疑わしいURLパターンをチェックする、XSS対策機能などを導入してみてはどうだろう。

　プライバシーを守りたいなら、現時点では「Firefox」と「NoScript」アドオンをダウンロードするのがベストだ。個人情報を秘匿しておく唯一確かな方法は、残念ながらこれしかないのが現状である。

（Garett Rogers）