BrowserGate(ブラウザーゲート)」と名付けられた新しい報告書は、マイクロソフト社のLinkedInが、そのウェブサイトに隠されたJavaScriptスクリプトを使って、訪問者のブラウザーにインストールされた拡張機能をスキャンし、デバイスデータを収集していると警告している。
LinkedInの商用ユーザーの団体であると主張するFairlinked e.V.の報告によると、マイクロソフトのプラットフォームは、ユーザーセッションにJavaScriptを注入し、何千ものブラウザ拡張機能をチェックし、その結果を特定可能なユーザープロファイルにリンクしている。
著者は、LinkedInのアカウントは実際のID、雇用主、および職務上の役割と結びついているため、この動作は機密性の高い個人情報や企業情報を収集するために使用されると主張している。
「LinkedInは、Apollo、Lusha、ZoomInfoなど、自社の販売ツールと直接競合する200以上の製品をスキャンしている。LinkedInは各ユーザーの雇用主を把握しているため、どの企業がどの競合製品を使っているかをマッピングすることができる。リンクトインは、何千ものソフトウェア会社の顧客リストを、誰にも知られることなくユーザーのブラウザから抽出している。
「そして、見つけたものを利用する。LinkedInはすでに、サードパーティ製ツールのユーザーに対し、この秘密スキャンで得たデータを使ってターゲットを特定し、強制的な脅しを送っている」。
私たちは、LinkedInのウェブサイトからランダムなファイル名のJavaScriptファイルが読み込まれていることを確認しました。
このスクリプトは、拡張機能がインストールされているかどうかを検出するための既知の手法である、特定の拡張機能IDに関連付けられたファイルリソースへのアクセスを試みることで、6,236のブラウザ拡張機能をチェックします。
このフィンガープリントスクリプトは2025年に報告されたことがあるが、そのときは約2,000の拡張機能しか検出できなかった。2ヶ月前の別のGitHubリポジトリでは、3,000の拡張機能が検出されており、検出される拡張機能の数が増え続けていることを示している。
Source :
スキャンされる拡張機能の多くは LinkedIn に関連するものだが、スクリプトは不思議なことに、言語や文法の拡張機能、税務専門家向けのツール、その他一見無関係な機能も検出している。
このスクリプトはまた、CPUコア数、使用可能メモリ、画面解像度、タイムゾーン、言語設定、バッテリー状態、オーディオ情報、ストレージ機能など、ブラウザやデバイスのデータを幅広く収集する。
ソースは こちら:
BrowserGateのレポートにある、データの使用や第三者企業との共有の有無に関する主張は確認できなかった。
しかし、同様のフィンガープリンティング技術は、過去にユニークなブラウザ・プロファイルを構築するために使用されたことがあり、これによりウェブサイト間でユーザーを追跡することができる。
リンクトインはデータ使用疑惑を否定
LinkedInは、特定のブラウザ拡張機能を検出することに異論はなく、その情報はプラットフォームとそのユーザーを保護するために使用されると述べている。
しかし同社は、この報告はLinkedInのコンテンツをスクレイピングし、同サイトの利用規約に違反したとしてアカウントを禁止された人物によるものだと主張している。
.fan_quote { width: 85%; margin: auto; font-size: 16px; font-weight: 300; font-family:line-height: 1.2; color:#padding: 35px 10px 35px35px 10px 35px 40px; display: block; position: relative; box-sizing: border-box; box-shadow: inset 0 0 0 7px rgba(255, 255, 255, 0.07), 4px 4px 4px rgba(0, 0, 0, 0.15); background-color:#} .fan_quote:before { width: 30px; height: 20px; position: absolute; left: 10px; top:10px; content:”; background: url(‘https://www.bleepstatic.com/css/fanquote/dark-quote.png’) no-repeat; } .fan_quote:after { width: 30px; height: 20px; position: absolute; right: 20px; bottom:15px; content:”; background: url(‘https://www.bleepstatic.com/css/fanquote/quote.png’) -40px 0px no-repeat; } .fan_quote > a { font-family: sans-serif; font-size: 14px; color:#text-decoration: none; float: right; } .fan_quote > a:hover { color:} .fan_quote > a:hover { color: #ace; }
“ここにリンクされているウェブサイトでの主張は明らかに間違っている。背後にいる人物は、スクレイピングやLinkedInの利用規約に対するその他の違反でアカウント制限を受けています。
会員のプライバシーとデータを保護し、サイトの安定性を確保するため、会員の同意なしにデータをスクレイピングしたり、LinkedInの利用規約に違反したりする拡張機能を探しています。
一部のエクステンションには、当社のウェブページに注入できる静的リソース(画像、javascript)があります。静的リソースの URL が存在するかどうかを確認することで、これらの拡張機能の存在を検出できます。この検出は Chrome 開発者コンソールで確認できます。このデータは、どの拡張機能が規約に違反しているかを判断し、技術的な防御策を通知し、改善するために使用します。また、あるメンバーアカウントが他のメンバーのデータを大量に取得し、規模が大きくなるとサイトの安定性に影響を与える理由を理解するために使用します。このデータを使用して、会員の機密情報を推測することはありません。
さらに背景を説明すると、このウェブサイト所有者のアカウント制限に対する報復として、彼らはLinkedInが様々な法律に違反していると主張し、ドイツで差し止め命令を得ようとしました。裁判所は彼らに不利な判決を下し、LinkedInに対する彼らの主張には何のメリットもなく、事実、この個人自身のデータ慣行は法律に反していると判断しました。
残念なことに、これは法廷で敗訴した個人が、正確さを無視して世論法廷で再訴訟しようとしているケースである。”
リンクトイン
LinkedInは、このBrowserGateの報道は「Teamfluence」と呼ばれるLinkedIn関連のブラウザ拡張機能の開発者をめぐる紛争に起因すると主張している。
ドイツの裁判所は、リンクトインの行為は違法な妨害や差別には当たらないとし、開発者の仮差し止め請求を却下した。
裁判所はまた、自動化されたデータ収集だけでもリンクトインの利用規約を侵害する可能性があり、プラットフォームを保護するためにアカウントをブロックする権利があると判断した。
LinkedInは、BrowserGateの報告書は、この争いを再び公に争おうとするものだと主張している。
報告の理由はともかく、議論の余地のない点がひとつある。
LinkedInのサイトは、訪問者のシステムに関する他のデータとともに、Chromiumブラウザで実行されている6,000以上の拡張機能を検出するフィンガープリント・スクリプトを使用している。
企業が訪問者のデバイス上で実行されているプログラムを検出するために積極的なフィンガープリンティング・スクリプトを使用するのは今回が初めてではない。
2021年には、eBayがJavaScriptを使用して訪問者のデバイスに自動ポートスキャンを実行し、さまざまなリモートサポート・ソフトウェアを実行しているかどうかを判断していたことが判明している。
eBayはこれらのスクリプトを使用している理由を確認することはなかったが、危険なデバイスでの詐欺行為をブロックするために使用されていると広く信じられていた。
後に、Citibank、TD Bank、Ameriprise、Chick-fil-A、Lendup、BeachBody、Equifax IQ connect、TIAA-CREF、Sky、GumTree、WePayなど、他にも多数の企業が同じフィンガープリント・スクリプトを使用していたことが判明した。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
自動ペンテストは6面のうち1面のみをカバーする。
自動ペンテストはパスの存在を証明する。BASは、あなたのコントロールがそれを止めるかどうかを証明します。ほとんどのチームは、一方を実行し、もう一方を実行しない。
このホワイトペーパーは、6つの検証サーフェスをマッピングし、どこでカバーが終了するかを示し、実務者にあらゆるツール評価のための3つの診断質問を提供します。
Comments