Chrome の新機能 IP Protection:IP アドレスのマスキングでユーザーのプライバシーを強化

Google Chrome’s new “IP Protection” will hide users’ IP addresses

2023/10/22 BleepingComputer — Google がテストを進めている、Chrome の新機能 “IP Protection” は、プロキシ・サーバを用いて IP アドレスをマスキングし、ユーザーのプライバシーを強化するものだ。機密情報の追跡のために、IP アドレスが悪用される可能性について、Google は認識している、そして、ユーザーのプライバシー確保と、Web の本質的な機能との間で、バランスを取ろうとしている。

IP アドレスを用いれば、Web サイトやオンライン・サービスによる、Web サイトを横断したアクティビティの追跡が可能になり、それによる永続的なユーザー・プロファイルの作成も容易になる。サードパーティのクッキーとは異なり、いまのインターネット・ユーザーには、このような秘密裏の追跡を回避する方法がないため、プライバシー保護における深刻な懸念が生じる。

Google が提案する IP Protection 保機能とは?

たしかに IP アドレスは、追跡のための潜在的なベクターである。しかし、その一方で、トラフィックのルーティングや詐欺防止などの重要なネットワーク・タスクとって、重要な Web 機能であり、また不可欠なものである。

新機能である IP Protection は、個々のドメインからのサード・パーティー・トラフィックをプロキシ経由でルーティングし、それらのドメインから ユーザーの IP アドレスを見えなくすることで、重要な Web 機能と安全確保という2つ役割に対処する。エコシステムが進化するにつれて、この IP Protection も進化し、クロスサイト・トラッキングからユーザーを守り続け、プロキシを介したトラフィックへと、新たなドメインを追加していくことになる。

IP Protection の概説ページには、「Chrome は、IP アドレス経由のクロスサイト・トラッキングからユーザーを保護するための、新たに提案を導入する。この提案とは、上記のような適格なトラフィックに対して、IP アドレスを匿名化するプライバシー・プロキシである」と説明されている。

当初の IP Protection はオプトイン機能となり、ユーザーによるプライバシー管理を実現し、Google による行動の傾向の監視を可能にする。この機能の導入は、地域性を考慮し、学習曲線を確保するために段階的に行われる。

最初のアプローチでは、サードパーティの文脈でリストアップされたドメインのみが影響を受けることになり、ユーザーを追跡していると思われるドメインが追跡されるという。

最初の段階である “Phase 0” では、Google は独自のプロキシを使用して、自社ドメインへのリクエストのみをプロキシする。つまり、Google がシステムのインフラをテストし、ドメイン・リストを微調整する時間を稼ぐのに役立つ。

まず手始めに、これらのプロキシにアクセスできるのは、Google Chrome にログインし、米国に拠点を置く IP を持つユーザーのみとなる。この予備テストには、選ばれたクライアント・グループが自動的に取り込まれるが、テストが進むにつれて、アーキテクチャとデザインは修正されていくという。

悪用の可能性を回避するために、Google が運営する認証サーバがプロキシにアクセストークンを配布し、各ユーザーに対して割り当て枠が設定される。今後の段階においては、さらにプライバシーを高めるために、2ホップ・プロキシ・システムが採用される予定だ。

IP Protection の紹介ページでは、「プライバシー向上のために、2ホップを使用することを検討している。2つ目のプロキシは外部の CDN が実行し、1つ目のホップは Google が実行する。こうすることで、どちらのプロキシもクライアントの IP アドレスとディスティネーションの両方を見ることは可能になる。CONNECT と CONNECT-UDP は、プロキシのチェーニングをサポートしている」と説明されている。

多くのオンライン サービスが GeoIP を介して、サービスを提供するユーザーの位置を特定している。そのため Google は、以下に示すように、ユーザーの特定の位置ではなく、”大まかな” 位置を表すプロキシ接続に対して、IP アドレスを割り当てることを計画しているという。

Illustrating how Google plans on assigning IP address to allow for GeoIP locations
Google がどのようにIP アドレスを割り当て、GeoIP ロケーションを可能にしようとしているかを示す図
Source: Google

この機能をテストするために、Google が予定しえいるドメインには、Gmail や  AdServices のようなプラットフォームが含まれている。Google は、Chrome 119/225 の間で、この機能をテストする予定だという。

セキュリティ上の懸念

Google は、新しい IP Protection には、サイバー・セキュリティ上の懸念があるとしている。まず、トラフィックが Google  のサーバを経由してプロキシされるため、セキュリティや詐欺防止サービスによる DDoS 攻撃のブロックや、無効なトラフィックの検出が困難になる可能性がある。

さらに、Google のプロキシ・サーバの1つが侵害された場合に、そのサーバを経由するトラフィックを脅威アクターが監視し、操作できるようになる。

Google は、これらの問題を軽減するために、IP Protection の利用者に対してプロキシとの認証を義務付け、さらには、プロキシが Web リクエストを特定のアカウントにリンクさせないように制約し、DDoS 攻撃を防ぐためのレート制限の導入などを検討しているという。

セキュリティにおけるプロキシという、とても効果的で厄介な問題に踏み込む Google に、まずは拍手です。つい先日の 2023/10/12 の「Squid Proxy の数十の脆弱性:報告から2年が経過しているがパッチは未適用」には、「これらの問題を報告する過程で、Squid チームは親切にサポートしてくれた。しかし、彼らは、現実的に人員不足であり、発見された問題を修正するためのリソースがない。問題を修正するよう要求しても、埒が明かないという状況だ」というコメントが添えられていました。もし Google が、Chrome ではなく Chromium に、この記事に書かれているような適切なプロキシ機能を組み込み、なおかつ、公正/公平な運用をしてくれるなら、おおくのユーザーのメリットになるはずです。期待したいです。