PCやスマートフォンに搭載されているソフトウェア・アプリがユーザーに気づかれないように、インジケーターランプを点灯させずにカメラやマイクを起動し、こっそり写真を撮影したり動画や音声を記録する……ということの危険性は、これまでも指摘されてきました。新たな報告では、Googleの広告ネットワークを通じて表示される広告が、ブラウザに対してカメラやマイクへのアクセスを求めていたことが判明しています。

An iframe from googlesyndication.com tries to access the Camera and Microphone

https://techsparx.com/software-development/security/csp-camera-microphone.html

ソフトウェア・エンジニアのデイビッド・ヘロン氏は、「広告ネットワークがカメラやマイクにアクセスする正当な目的はありませんが、JavaScriptコンソールの中で、『何の広告を表示させるか』に関連して、それを実現させようとする動きを発見しました」と述べています。

ヘロン氏によると、これは「safeframe.googlesyndication.com」というドメインを持つ広告の中で発見されたとのこと。「GoogleSyndication.com」というドメインは、Googleの広告管理プラットフォーム・Googleアドマネージャーを利用する広告の配信で利用されるもの。「広告ネットワークがカメラやマイクにアクセスしようとしている」という動きだけを聞くとマルウェアの疑いが持たれるものですが、Google正規の広告配信サービスを介していることを考えると、マルウェアが配布されているという可能性は少ないとヘロン氏はみています。

ヘロン氏がカメラやマイクへのアクセスを確認したのは、「techsparx.com」というウェブサイト。techsparx.comは「Ezoic」というサービスを利用しており、Ezoicは一部の広告にGoogleアドマネージャーを使用しています。ヘロン氏が見たところ、techsparx.comはiframeでsafeframe.googlesyndication.comからコンテンツを読み込んでいたとのこと。ただし、この動きによってブラウザのセキュリティ機能であるFeature Policyが動作することになり、カメラとマイクへのアクセスは拒否されたそうです。



ブラウザのFeature Policy機能によってアクセスのブロックに成功していた点は結果的にはよかったものの、GoogleアドセンスとGoogle広告を利用しているウェブサイト側が、このようなアクセスをブロックすることは難しく、ウェブサイトを訪れるユーザーレベルでの対策が必要とのこと。

カメラやマイクへのアクセスを制限する場合、Google Chromeでは、ブラウザのメニューアイコンから「設定」を選択します。



「サイトの設定」を検索して、表示された項目をクリック。



ここからカメラやマイクへのアクセスを制限できます。「カメラ」をクリックしてみると……



全てのウェブサイトがカメラを使用することを禁止できるほか、カメラの使用を禁止するウェブサイトの指定も可能になっています。



Firefoxの場合、メニューアイコンから「設定」をクリック。



「プライバシーとセキュリティ」をクリックすると、カメラやマイクの設定項目が現れるので、「カメラ」をクリックします。



Firefoxの場合は、カメラのアクセス許可を要求するウェブサイトに対し、許可やブロックを指定する形となっていました。



iOSのSafariの場合は「設定」から「Safari」をタップ。



「カメラ」をタップすると……



マイクへのアクセスについて「確認」「拒否」「許可」から選べるようになっていました。



なお、IT系掲示板のHacker Newsでは、これはユーザー識別のためのフィンガープリント収集を目的としているのではないかと議論されています。