「Firefox」の検索機能から意図せずデータが外部送出される問題 ～Mozillaが緊急対処

「Firefox」v96.0.3

　Mozillaは1月27日（米国時間）、デスクトップ向け「Firefox」の最新版v96.0.3を正式公開した。先週に続くマイナーアップデートだ。

　本バージョンでは、一部の検索テレメトリで不要なデータが意図せず送信されてしまう問題が解決された。それ以外の不具合やセキュリティ問題はアナウンスされていない。

　「Firefox」のアドレスバーでキーワードを検索すると、検索エンジンにクエリURLが送信されるが、これには「検索コード」が含まれている。Mozillaは「Firefox」から収益を得るため、検索エンジンとパートナーシップを結んでいるが、ユーザー検索がどのパートナーに属するものかを明らかにするためだ。

HTTPクエリパラメーターに含まれる検索コード

　このURLに含まれる検索コードは、「Firefox」のテレメトリ（遠隔で利用状況などを測定する機能）によっても収集される。これは正しいコードが送信されているかどうかを確認するためで、不具合やマルウェアによりユーザー検索が「ハイジャック」（乗っ取り）されていないかを検知するために役立てられているという。

　今回修正された不具合は、このURLに含まれる検索コードをユーザーが誤って編集した場合に発生する。たとえば「firefox」という検索コードの部分に誤ってメールアドレス「example@example.com」が挿入されると、「fireexample@example.comfox」といったメールアドレスを含む検索コードがテレメトリ機能により収集・送信されてしまう。

　Mozillaの調査によると、この種のケースはデスクトップ版「Firefox」で最大0.0013%、Android版「Firefox」で0.0005%、「Firefox Focus」（Android）で0.0057%だったとのこと。iOS版の「Firefox」「Firefox Focus」はテレメトリ機能の実装が異なるため、この問題は発生しない。つまり滅多にあることではないが、情報漏洩につながる危険性を重視し、マイナーアップデートでの対処に踏み切った格好だ。

　ちなみに、ユーザーが何を検索したかまで報告されてしまうことはないので、その点は安心してよい。

　「Firefox 96.0.3」では既知の検索コード以外は外部に送信されないようになっているので、前述のレアケースでも情報が漏洩してしまう恐れはない。検索ハイジャックの調査もこれまで通り行える。

　また、このようなクライアント側での改修に加え、テレメトリサーバー側にも不要なデータを受け付けないようにする改修が施される。これは2月末までには完了するとのこと。

　サーバー側の改修で、旧バージョンの「Firefox」から意図しない情報が送出され、テレメトリサーバーに保存されてしまうケースにも対応できるが、できるならばクライアントを最新版へ更新する方が望ましい。

　デスクトップ版「Firefox」はWindows/Mac/Linuxなどに対応する寄付歓迎のフリーソフトで、現在MozillaのWebサイトからダウンロード可能。Windows版はWindows 7/8/10/11に対応しており、窓の杜ライブラリからもダウンロードできる。