ニュース

「Firefox」の検索機能から意図せずデータが外部送出される問題 ~Mozillaが緊急対処

「Firefox 96.0.3」へのアップデートを

「Firefox」v96.0.3

 Mozillaは1月27日(米国時間)、デスクトップ向け「Firefox」の最新版v96.0.3を正式公開した。先週に続くマイナーアップデートだ。

 本バージョンでは、一部の検索テレメトリで不要なデータが意図せず送信されてしまう問題が解決された。それ以外の不具合やセキュリティ問題はアナウンスされていない。

 「Firefox」のアドレスバーでキーワードを検索すると、検索エンジンにクエリURLが送信されるが、これには「検索コード」が含まれている。Mozillaは「Firefox」から収益を得るため、検索エンジンとパートナーシップを結んでいるが、ユーザー検索がどのパートナーに属するものかを明らかにするためだ。

HTTPクエリパラメーターに含まれる検索コード

 このURLに含まれる検索コードは、「Firefox」のテレメトリ(遠隔で利用状況などを測定する機能)によっても収集される。これは正しいコードが送信されているかどうかを確認するためで、不具合やマルウェアによりユーザー検索が「ハイジャック」(乗っ取り)されていないかを検知するために役立てられているという。

 今回修正された不具合は、このURLに含まれる検索コードをユーザーが誤って編集した場合に発生する。たとえば「firefox」という検索コードの部分に誤ってメールアドレス「example@example.com」が挿入されると、「fireexample@example.comfox」といったメールアドレスを含む検索コードがテレメトリ機能により収集・送信されてしまう。

 Mozillaの調査によると、この種のケースはデスクトップ版「Firefox」で最大0.0013%、Android版「Firefox」で0.0005%、「Firefox Focus」(Android)で0.0057%だったとのこと。iOS版の「Firefox」「Firefox Focus」はテレメトリ機能の実装が異なるため、この問題は発生しない。つまり滅多にあることではないが、情報漏洩につながる危険性を重視し、マイナーアップデートでの対処に踏み切った格好だ。

 ちなみに、ユーザーが何を検索したかまで報告されてしまうことはないので、その点は安心してよい。

 「Firefox 96.0.3」では既知の検索コード以外は外部に送信されないようになっているので、前述のレアケースでも情報が漏洩してしまう恐れはない。検索ハイジャックの調査もこれまで通り行える。

 また、このようなクライアント側での改修に加え、テレメトリサーバー側にも不要なデータを受け付けないようにする改修が施される。これは2月末までには完了するとのこと。

 サーバー側の改修で、旧バージョンの「Firefox」から意図しない情報が送出され、テレメトリサーバーに保存されてしまうケースにも対応できるが、できるならばクライアントを最新版へ更新する方が望ましい。

 デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10/11に対応しており、窓の杜ライブラリからもダウンロードできる。