ウェブブラウザの権限機構にセキュリティ上の問題

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は2月27日、ウェブブラウザの権限機構におけるセキュリティ上の問題について「Japan Vulnerability Notes（JVN）」で発表した。早稲田大学の野本一輝氏、NTT社会情報研究所の渡邉卓弥氏、塩治榮太朗氏、秋山満昭氏、JPCERT/CC が共同で執筆している。影響を受けるシステムは以下の通り。

ウェブブラウザアプリケーション

　ウェブブラウザにおける権限機構は、ユーザの同意に基づいて、カメラやGPS等のデバイスに搭載されたハードウェアリソースへのウェブサービスによるアクセスを制御する機構で、例としてはオンライン会議サービスではカメラやマイク、検索エンジンでは位置情報が用いられている。

　ウェブサイトからの権限要求における権限状態は、ユーザによる権限の選択が行われていない状態の prompt、ユーザが権限を許可した状態の granted、ユーザが権限を拒否した状態の denied に分類される。デフォルト値は prompt で、あるオリジンがアクセスを要求したデバイスに対する権限状態が granted であるときのみに、デバイスへのアクセスが許可される。

　研究チームが挙げた問題点は下記の6点で、これらの問題が個別にあるいは複数組み合わさることで、種々の脅威が生じる可能性が指摘されている。

問題点1. 一部のOSとブラウザの組み合わせにおいて、ユーザによる権限の設定が正しく反映されない

問題点2. 権限設定が永続化される条件がブラウザやOSの組み合わせにより異なる

問題点3. 権限設定がブラウジングモード（ノーマルブラウジング/プライベートブラウジング）間で共有される条件がブラウザやOSのの組み合わせにより異なる

問題点4. 権限設定が適切に削除されない

問題点5. 権限要求が無視された場合、権限状態が拒否（denied）とみなされる

問題点6. バックグラウンドで動作するタブからの権限要求を表示させる際の挙動がブラウザにより異なる

　JVNでは想定される影響として、権限機構のブラウザ間の不一致は、ウェブブラウザのユーザに混乱や誤った判断を引き起こす恐れがあり、権限機構とプライベートブラウジングモードなどのユーザのプライバシーを保護する上で重要な機能との間の不整合は、本来保護されるべき情報の漏えいに繋がるとしている。

　問題点1. から6. が単独あるいは複数組み合わさることで生じうる具体的な脅威は下記の通り。

・権限状態を用いたトラッキング
・権限要求ダイアログの誤認
・プライベートブラウジングモードにおける権限状態の保持に関する誤認

　JVNでは、ブラウザベンダが実施できる対策として下記を挙げている。

ノーマルブラウジングモードとプライベートブラウジングモード間で権限状態を共有しない
プライベートブラウジングモード終了時に、設定された権限状態を明示的に消去する
バックグラウンドタブによる権限要求ダイアログをオーバーレイで表示しない

　またJVNでは、ユーザが実施できる対策として下記を挙げている。

ゲストモードを利用する
権限要求ダイアログを注意深く確認する