State of Web Exposure 2025：隠された弱点を新たな手法で分析する

New Research: The State of Web Exposure 2025

2025/01/23 TheHackerNews — あなたの Web サイトから、機密データが漏洩していないだろうか？ 最新の調査によると、サードパーティ製アプリの 45% が、適切な許可なくユーザー情報にアクセスしており、小売業における Web Exposure リスクの 53% は、追跡ツールの過度の使用によるものだという。これらの隠れた脅威とリスクを発見し、軽減していく方法を学ぶべきだ。このフルレポートは、ココからダウンロードできる。

Web Exposure 管理のスペシャリストである Reflectiz の最新調査では、多くの業界における組織を、不必要に危険にさらす Web サイトの脆弱性が多数あるという、驚くべき結果が明らかになった。

注記：この記事では、グラフ内のラベルを参照するケースが多いので、その際には、文中でも英単語を使用しています。

たとえば、このレポートの際立った統計の１つは、サードパーティ製アプリケーションの 45% が正当な理由を持たないのに、機密性の高いユーザー情報にアクセスしているというものだ。これらサードパーティ製アプリは、マーケティングや機能の向上に不可欠かもしれないが、サイバー犯罪者が狙っているような個人情報や財務情報へのアクセスを、すべてのアプリが必要とするわけではない。アプリによるアクセスは、必要に応じて制限する方が安全である。

この Reflectiz の調査では、各業界の Top-100 の Web サイト (サイト訪問数による) からデータを収集している。このような大規模なサンプルに含まれる、サードパーティ・アプリの約半数が、その必要もないのに、機密性の高いユーザー・データを収集しているという事実は驚きである。

このような、悪しき慣行が広まっていることを認識する、数多くの Web サイト所有者であれば、Web エコシステムに潜む脅威について、つまり、現実における Web Exposure のフットプリントの広さについて疑問を持つだろう。あらゆる業界の Web サイト所有者が、このレポートから学べることは、自分たちには予期しない未解決の脆弱性が、ほぼ確実に存在するということだ。そのような懸念が、以下のグラフのデータにより示唆される。

機密データの Exposure

Reflectiz のレポートから引用する、以下のグラフは、機密性の高いユーザー・データにアクセスできるアプリについて、業界ごとにバラつきあることを示している。それを念頭に置くなら、Entertainment や Online Retail の分野で活動している企業は、自社内のアプリのうち、どれだけが不必要に機密データにアクセスし、Web Exposure を増やしているのかという点について、注意を払う必要があるかもしれない。

Web Exposure という言葉に馴染みのない方のために説明すると、この言葉は Gartner による造語であり、現代の Web サイトが直面する多様なリスクを表している。それらのリスクは、追跡や機能を提供するタスクにとって有益な、サードパーティ製アプリ／CDNリポジトリ／OSS ツールなどと接続することで生じるものだ。

それぞれが攻撃対象領域を拡大し、脅威アクターたちの潜在的な標的となる。Web サイトの所有者は、これらの接続された資産を使い続けるほかに手はないが、それぞれを安全にするための措置を講じることは可能である。サードパーティ製アプリが、ユーザーの個人情報／財務情報／健康情報といった機密性の高いデータに、不必要にアクセスしていないことの確認は、すぐに成果を上げる出発点となるが、このレポートでは、その他の多くのことも明らかになっている。

たとえば、このレポートでは、アプリの人気がリスク要因として取り上げられている。

一般的に、人気の高いアプリの方が安全であるとされている。つまり、長い期間にわたって利用されてきたアプリは、それなりのユーザーベースを構築し、ユーザー・コミュニティとセキュリティ専門家により、正確に評価されているという考え方がある。それらのアプリが堅牢かどうかを、彼らは知っている。具体的に言うと、開発者が最新のコーディング手法を使用し、改善アップデートを発行し、バグを迅速に修正していることを知っている。その一方で、人気のないアプリは無視される可能性が高く、侵害のリスクが高いため、機密データへのアクセスを許すことはできない。その点において、実績と人気のあるアプリは、登場したてのアプリよりも、リスクが低いと考えられる。

上記のグラフは、以下のことを示している。

• Leisure and Hospitality 業界の Web サイトには、２件の不人気アプリが存在する。
• Online Retail とEntertainment には、１件の不人気アプリが存在する。

これらのアプリの安全性について、所有者が確認していない場合には、確認が完了するまで、そのアプリを無効化し、代替アプリを使用することを推奨する。このような簡単な手順を実行するだけで、全体的な Web Exposure スコアが下がっていく。

追跡のためのテクニック

ここまでの説明からは外れてしまうが、定評のあるサードパーティ製アプリであっても、それが追跡アプリの場合には、以下のグラフが示すように、組織の Web Exposure レベルが高まる可能性がある。

たとえば、Facebook pixels や TikTok pixels は、誤って設定された後に、ユーザーの個人情報を収集することで知られている。そのため、この調査では、さまざまな業界の Web サイトにおける追跡テクニックの普及について取り上げている、興味深いのは、導入されているトラッカーやピクセルの数だけで、全体像が必ずしも明らかにならないという点だ。また、その情報源となった、Reflectiz のデータ収集の方式も、とても興味深い。

たとえば、以下のグラフが示すように、Publisher 業界の Web サイトには、平均して 12 個のトラッカーが存在するため、ユーザーのプライバシー・リスクが最も高いように思えるだろう。これらの Web サイトの [Total] としては、６個弱のトラッカーが存在するため、Publisher 業界は脅威アクターたちに、約２倍のデータ窃取の機会を提供しているように見えるが、考慮すべき要素は他にもある。

これらの調査結果は、Publisher による追跡テクニックとプライバシー・リスクの関係を見直すきっかけとなるはずだが、以下のグラフを手がかりとして、これらのピクセル展開された場所と目的を確認することも必要になる。このレポートが明らかにするのは、潜在的に危険を伴う慣行だけではなく、企業によるコンテキストの重要性の認識もある。このケースにおけるコンテキストに含まれるのは、どの部門により何が行われているのかという点である。

State of Web Exposure 2025 で判明したのは、マーケティング部門とデジタル部門が妥当な理由もなく、支払い iFrame でピクセルを追跡し、リスクを誘発する可能性が高いことである。このようなケースは、静的イメージで埋め尽くされたページでピクセルを実行するよりも、本質的に危険なコンテキストとなる。なぜなら、それらのページが脅威アクターに変更された場合には、ユーザーの支払いデータが盗まれる可能性が高くなるからだ。したがって、全体的な Web Exposure を削減したいと考えている Publisher が優先すべきは、マーケティング部門のスタッフに対するベスト・プラクティスのトレーニングである。

結論

このレポートで示されるのは、数多くの興味深い洞察である。たとえば、Entertaiment 業界の Web サイトでは、Finance 業界のサイトと比べて、約２倍の悪意のアクティビティが発生している。また、Education 業界のサイトは、パブリック・コンテンツ配信ネットワークに過度に依存しているため、高いリスクにさらされている。

このような洞察の積み重ねにより明らかになるのは、Web への露出を減らしたいと考える各業界の企業にとって、万能のアプローチは存在しないということだ。つまり、影響を受けるリスク要因のコンテキストにより、リスク要因への対応が決まっていく。

このレポートで明らかにされたのは、動的に変化するリスク変数の状況に、各業界が直面していることである。したがって、優先して実行すべき事項を選び出すために、Reflectiz は Exposure Rating と呼ばれる革新的なテクノロジーを開発している。

このテクノロジーは、数百万の Web サイト対するスキャン結果から収集した、膨大な数のデータ・ポイントを分析し、各リスク要因をコンテキストで考えるものである。具体的に言うと、それらを合計して全体的なリスク・レベルを作成し、それを A 〜 F の単純なグレードとして表現し、修復に関するアドバイスを追加している。この方式は、各組織のセキュリティの優先順位を特定し、最も必要な場所に注意を集中させ、業界の同業他社と比較しながらパフォーマンスをベンチマークするものである。

この調査レポートのフル・バージョンは、ココからダウンロードできる。

“Web Exposure” という言葉ですが、Gartner による造語なんだと初めて知りました。シンプルに日本語にするなら “Web 露出” とか、”Web エクスポージャー” とかになるのかもしれませんが、 とりあえず、そのまま英単語を残しました。また、冒頭の注記に書きましたが、グラフ内のラベル参照部分は、文中でも英単語表記にしています。ちょっと長い記事ですが、訳してみてよかったと思っています。