今週末、広告主が新たな手法を用いていることが研究で明らかになり、大きな話題となりました。これは、広告ターゲティング業者がブラウザのパスワードマネージャーを利用してユーザーを追跡する方法です。AdThinkとOnAudienceという2つのスクリプトが、自動入力フォームからユーザーを特定できる情報を取得します。macOSとiOSでSafariの自動入力を無効にする方法をご紹介します。

どのパスワード マネージャーですか?

1Password は Twitter で、このパスワード マネージャーはこの種の攻撃の影響を受けないと述べ、ユーザーを安心させた。

もう一つの人気パスワードマネージャーであるLastPassは、（私の知る限り）この攻撃に関する情報を一切提供していません。しかし、これらのパスワードマネージャーは似たような動作をする傾向があるため、LastPassも影響を受けていないと推測しています。

これらのスクリプトは、ウェブサイトのバックグラウンドに目に見えないログインフォームを挿入することで機能します。ブラウザがデータを自動的に入力すると、その情報が収集されます。この情報は、ウェブ上でユーザーを追跡するための永続的なIDとして利用される可能性があります。主にユーザー名が標的ですが、パスワードの収集も阻止できません。

Safariの自動入力をオフにする

サードパーティ製のパスワードマネージャーをご利用の方は影響を受けません。iCloudキーチェーンをご利用の場合は、スクリプトによってデータが収集される可能性があります。ただし、自動入力をオフにするのは簡単です。

macOS

MacでSafariを開き、「Safari」>「環境設定」に進みます。環境設定ボックスが表示されたら、「自動入力」タブをクリックします。 「ユーザー名とパスワード」の横にあるチェックボックスをオフにします。

iOS

iPhoneまたはiPadで、「設定」>「Safari」>「自動入力」に移動します。 「名前とパスワード」の横にあるスイッチをオフにします。

ただし、パスワードマネージャーにお金を払う代わりにiCloudキーチェーンを使いたい場合は、広告ブロッカーを使用してサードパーティのスクリプトによるトラッキングを防ぐことができます。研究者らは、スクリプトの提供に使用されている2つのドメイン（behavioralengine.comとaudienceinsights.net）がEasyPrivacyのブロックリストによってブロックされていると指摘しています。