マウス位置関連の動作について報告された情報とセキュリティの問題に対する更新情報

この数日間にわたり、私たちは、マウスの位置に関するブラウザーの動作が悪用され得るとする報告を目にしてきました。Microsoft では、他の企業と密接に協力し、マウスの位置の動きについて懸念されている問題への対処を進めています。現時点でわかっているのは、根本的な問題は解析企業間の競争に関係しており、ユーザーの安全やプライバシーにかかわるものではないということです。

私たちは、この IE の動作を調整するべく積極的に取り組んでいます。ただし、問題とされている動作と同様の機能は他のブラウザーにもあります。IE でビューポートの検出を行おうとする解析企業は、他のブラウザーでも同様の方法で同じことを行うものと予想されます。詳細については、判明しだいこのブログでお伝えしていきます。

オンライン広告は、"配信された" インプレッションから "視認できる" インプレッションを重視する方向へと移行し始め (リンク (英語))、多くの解析企業がこの分野での競争力を強化するようになりました。この競争は世間でさまざまな結果を引き起こし、訴訟 (リンク (英語)) に発展したこともあります。この分野に力を入れている企業の 1 つが、マウス ポインターの情報に関する IE の問題を最近報告した Spider.io です。Spider.io は広告解析企業です。Spider.io の方針は、「広告の視認可能性を測定するには 2 とおりの方法があるが、適切な方法は 1 つだけ」(There are two ways to measure ad viewability. There is only one right way) と題された最近のブログ記事 (英語) で明確に語られています。解析企業各社では、違いはあっても同等の方法を使用して、さまざまなデバイス上のさまざまなブラウザーからユーザーの情報を収集しています。

この動作を実際に利用している事例として報告されたのは、Spider.io と競合する解析企業の活動だけです。Microsoft のセキュリティ チームでは、この動作を悪用してユーザーの安全やプライバシーを侵害することが可能かどうか、理論上の方法について業界の研究者と検討を重ねてきました。私たちはこのリスクを重く受け止めています。ただし、この動作を悪用するためには、ログオンを要求する広告をサイトに表示したうえで、ユーザーがスクリーン (仮想) キーボードを使っている必要があり、かつそのスクリーン キーボードがどのように動作するかを把握していなければなりません。これらの条件がすべて満たされる状況は考えにくいものです。ブラウザー ウィンドウの外部からマウスの位置データを参照できるという動作を調査した結果、サイトで取得できるのはマウスの状態だけであり、ユーザーが表示している実際のコンテンツを見ることはできないことが判明しています。業界のセキュリティ研究者との話し合いからも、現時点でユーザーにとっての危険はほとんどないという見解に達しています。以前にお伝えしたとおり、ユーザーの情報が侵害されたという事例は一切報告されていません。  

— Internet Explorer 担当コーポレート バイス プレジデント Dean Hachamovitch

更新情報:
この記事の公開後、このトピックについて要点を的確に捉えた中立的な記事が外部のセキュリティ関連ブログに掲載されました。「Actionable Intelligence: The Mouse That Squeaked」(英語) および「Spider.io Warns of Massive IE Security Flaw; But is it Legit?」(英語) をご覧ください。