モバイルアプリケーションとモバイルウェブサイトのどちらがプライバシー保護に優れているのでしょうか?最近まで、その答えは「わからない」でした。これは、オンラインプライバシーを懸念する人々にとって悩みの種でした。ノースイースタン大学のコンピュータ情報科学助教授であるデイビッド・チョフネス氏と彼の研究仲間も、この問題に注目していました。以下は、ノースイースタン大学のプレスリリースから、このテーマに関するチームの研究に関する抜粋です。
「チームは、各プラットフォーム(モバイルウェブサイトとモバイルアプリ)が、サービス運営の資金源として頼っている広告主やデータ分析会社に個人識別情報(PII)をどの程度漏洩しているかを調査しました。」
チームの結果に入る前に、私たちが何について話しているかを定義しましょう。
- モバイルウェブサイト:スマートフォンやタブレット向けに設計されたウェブサイトで、モバイルデバイスのウェブブラウザからアクセスできます。ユーザーがモバイルウェブサイトのURLを入力するかリンクをクリックすると、モバイルデバイスが検出され、適切なバージョンのモバイルインターネットサイトにリダイレクトされます。
- モバイル アプリケーション:モバイル ウェブサイトとは異なり、モバイル アプリは通常、アプリ マーケットプレイスからダウンロードしてインストールする必要があります。
参照: モバイルエンタープライズのセキュリティ確保 (ZDNet/TechRepublic 特集)
テストパラメータ
これらの答えについて、ノースイースタン大学の研究者たちは論文「Should You Use the App for That? (PDF)」で調査結果を発表しました。優れた学術研究の典型として、この論文ではまずテストの実施方法が説明されています。研究チームは、最も人気のある無料オンラインサービス(様々なカテゴリー)50件をテストしました。各サービスは、以下の要件を満たしていました。
- 人気があること(アプリストアで特集されていること)
- Google Play または Apple App Store で無料アプリを提供する必要があります
- モバイルウェブブラウザ経由で同等の機能を提供する必要があります
- 証明書ピンニングを実装してはならない
次に、PII漏洩とは何を指すのかを決定する必要がありました。チームは、以下のPIIに焦点を当てることにしました。
- インターネット上で暗号化されずに送信されるため、盗聴者にデータがさらされる可能性がある
- 第三者に送信され(暗号化またはプレーンテキスト)、サービスへのログインには必要ないため、ユーザーがプロファイリングにさらされることになります。
研究論文には、1 つの例外が挙げられています。「ユーザー名、パスワード、または電子メール アドレス (多くの場合、ユーザー名として使用されます) が HTTPS 経由でファーストパーティ サイトに送信される場合、それらは漏洩とは見なされません。」
他に重要だと判断されたのは、次の方法でユーザーをシミュレートするために、各モバイル アプリとモバイル Web サイトを手動でテストすることでした。
- 個人ログイン
- 要求された個人情報をテキストフィールドに入力する
- デジタル環境をランダムにナビゲートする
答えてください
結局のところ、答えは「場合による」です。チョフネス氏は続けます。「アプリは情報に直接アクセスできるため、より多くの識別子を漏洩すると予想していました。そして全体的にはその通りでした。しかし、通常、アプリは同じサービスにおいてウェブサイトよりも1つだけ多くの識別子を漏洩していることがわかりました。実際、40%のケースでウェブサイトはアプリよりも多くの種類の情報を漏洩していることがわかりました。」
この論文では、次のような重要な調査結果が示されています。
- モバイルウェブサイトの代わりにアプリを使うべきでしょうか?明確な答えはありません。Choffnes氏は先ほど、モバイルアプリの方が個人情報(PII)の漏洩が多いと指摘しましたが、テストの40%ではモバイルウェブサイトの方がより多くの種類の情報を漏洩しました。
- 各メディアタイプからどのような情報が漏洩するのでしょうか?テストの結果、モバイルウェブサイトからは氏名と位置情報の漏洩が多く見られました。そして予想通り、固有識別子とデバイス固有の情報はモバイルアプリからのみ漏洩しました。
- ウェブサイトはアプリよりも多くのトラッカーや広告主に直接アクセスしています。研究論文の著者らは、「ウェブサイトには複数の広告主や第三者のコンテンツが含まれることが多く、リアルタイム入札によってブラウザが複数のサイトにリダイレクトされるようになっています。対照的に、ほとんどのアプリには単一の広告ライブラリが含まれており、アクセスするドメインは少なくなっています」と述べています。
- 同じサービスにおいて、モバイルアプリとモバイルウェブサイト間ではどの程度のトラッキングが一般的に行われているのでしょうか?モバイルアプリとモバイルウェブサイトでは、位置情報、名前、性別、電話番号、メールアドレスなどが漏洩する可能性があります。
参照: エグゼクティブ向けモバイル セキュリティ ガイド (無料電子書籍)
研究者がオンラインヘルプを提供
研究者たちは、AirbnbからZillowまで、50の無料オンラインサービスの漏洩度を各ユーザーのプライバシー設定に基づいて評価するインタラクティブなウェブサイトを開発しました。図AはPricelineの漏洩度を示しています。
図A
チームの目標は、ユーザーがオンラインサービスへのアクセス方法について、十分な情報に基づいた最適な判断を下せるよう支援することです。「どのプラットフォームがすべてのユーザーにとって最適であるかという唯一の答えはありません」とチョフネス氏は言います。「私たちは、ユーザーが自ら探求し、それぞれのプライバシーの好みや優先順位がオンラインでのやり取りにどのように影響するかを理解する機会を提供したいと考えました。」
研究者らは今年 11 月にカリフォルニア州サンタモニカで開催される 2016 Internet Measurement Conference で研究結果を発表する予定です。
