Data Privacy Day - Googleを使わず1日過ごしてみる

Transcript

1. Data Privacy Day Googleを使わず1日過ごしてみる すみだセキュリティ勉強会2018その3 (2018/11/10) @ozuma5119 [email protected] https://ozuma.hatenablog.jp/ 1

2. 今日、この会場をGoogle検索した? 2

3. Google検索履歴 3

4. Google検索履歴 4

5. Google検索履歴 5

6. 検索履歴で殺される世界 6 伊坂 幸太郎 「モダンタイムス」

7. Agenda •1st section Googleとトラッキング •“Chromeにログイン”と”google.comにログイン” •2nd section Privacy, Anonymity •行動ターゲティング

   •透明性(Transparency) •3rd section No More Google •Privacy重視のプロダクト 8

8. 9 1st Section Googleとトラッキング

9. 予備知識：ChromiumとChrome 10 クロムCr(原子番号24)。耐食性に優れ、ステンレス鋼に。 Chromium (オープンソース) Google Chrome https://www.chromium.org/ Google機能追加 ※ChromiumもGoogleの開発者が多いので、実質どちらもGoogleが作ってる

10. Chrome 69で話題になった「Chromeへログイン」 11 https://www.google.com/ へのアクセス時

11. Chrome 69で話題になった「Chromeへログイン」 12 Google Chromeへのログイン google.comのWebログイン google.comへログインすると、自動的にChromeへもログイン するように変わった!

12. 状態を(わざと?)混同させた 13 1. google.comへのログイン(GmailやGoogle Mapsも) • 検索キーワードの取得 • Gmailのメールを収集 →

    google.comに「閉じた」履歴を収集する https://policies.google.com/privacy

13. 状態を(わざと?)混同させた 14 1. google.comへのログイン(GmailやGoogle Mapsも) • 検索キーワードの取得 • Gmailのメールを収集 →

    google.comに「閉じた」履歴を収集する 2. さらにChromeへ強制ログイン • ブックマーク同期 • 閲覧履歴の同期 • あらゆるWebアクセスを記録

14. Chromeへは強制ログイン。同期は任意 15

15. 16 Google Chromeの アクセス履歴収集API

16. アクセス履歴の送信解説 (1) 17 https://isitchristmas.com/ 今日がクリスマスかを教えてくれる便利ページ

17. アクセス履歴の送信解説 (2) 18

18. アクセス履歴の送信解説 (2) 19 目的サイトアクセス前に、client4.google.comへ何かをPOST → アクセス先だけ収集。中身まではぶっこ抜いていない POSTボディでサイト閲覧先を送信 (Protocol Buffers)

19. Chromeの閲覧履歴送信 20 https://clients4.google.com/invalidation/android/request/..... へ、Content-Type: application/x-protobuffer (Protocol Buffers*1)でPOST *1: 構造体をシリアライズ・デシリラアイズするフォーマット

20. 21 2nd Section Privacy, Anonymity

21. 22

22. 23 Gmail + Google Maps 自動連携

23. 行動ターゲティング広告 24 お名前.com(ドメイン取得) ブロックチェーンの 研修コース(?) DMM GAMES

24. 行動ターゲティングを拒否 25 ユーザが望めば…… 1. オプトアウト [必須] 2. 行動履歴の削除 3. 収集された行動履歴の閲覧

    (透明性：Transparency) 3まで出来ていれば エラいぞ

25. 行動ターゲティング - オプトアウト 26 https://grp12.ias.rakuten.co.jp/optout/

26. 行動ターゲティング - 行動履歴の削除 27 https://feedback.promotionalads.yahoo.co.jp/history/index

27. Googleの透明性は圧倒的（褒めてる） 28 https://myactivity.google.com/myactivity

28. Transparency(透明性) 29 https://adssettings.google.com/authenticated

29. Googleの広告で(i)を押す 30

30. なぜ表示されたか、ちゃんと分かる 31

31. Twitterの透明性 32 https://twitter.com/settings/your_twitter_data

32. Privacyデータ収集は透明性を持つべき •「何を」収集しているかを素直に言う。 何を取るか線引きするのではなく、取ってるものを 開示する •全てを素直にオープンに • そのため、Googleは「透明性」に非常にこだわる • Google透明性レポート https://transparencyreport.google.com/

    33

33. とは言え…… やっぱり監視社会はイヤだ…… 34 という分岐が生まれつつあるのが 最近のトレンド

34. 35 3rd Section No More Google

35. やっぱり気持ち悪い監視社会 36

36. おわかりいただけただろうか…… 37 https://goo.gl/maps/NQbMJfvWudQ2 ozuma5119 iPhone 5s

37. 39 最近のトレンド： Do Not Track

38. 40 • Privacy • Anonymity • Tracking • Behavioural Targeting

    v.s.

39. 41 • Privacy • Anonymity • Tracking • Behavioural Targeting

    v.s. 行動ターゲティング （好みに応じた広告） 匿名性 (名無しさん＠2ch)

40. 42 • Privacy • Anonymity • Tracking • Behavioural Targeting

    v.s.

41. Firefox 63 - トラッキング防止機能(1click!) 43

42. No More Google 44 https://nomoregoogle.com/

43. Privacy Heroes 45 https://privacyheroes.io/

44. トラッキングしない検索エンジン DuckDuckGo 46

45. DuckDuckGo - iPhoneアプリ版 47 ブラウジング後、ワンタッチで消滅 → → → 便利!!!!!!!1

46. ProtonMail - メールプライバシー最右翼 48 https://protonmail.com/

47. ProtonMail - メールプライバシー最右翼 49 メールデータはスイスの法律に従って保 護されている Google/Apple/Facebook/Amazonは、 アメリカ政府やNSAによりデータは抜か れる (Appleは若干反抗的

    *1) (*1) https://toyokeizai.net/articles/-/105946

48. ProtonVPN - VPNプライバシー最右翼 50

49. ProtonVPNアプリカッコいい(厨二心をくすぐる) 51

50. 反trackingのWebブラウザ - brave 52 https://brave.com/

51. モリモリblockしてくれるし早い 53

52. その他のWebブラウザ(紹介のみ) 54 • Vivaldi • https://vivaldi.com/ja/ • タブがめっちゃ便利なので私は会社でこれをメインにしています • Chromium

    • http://www.chromium.org/getting-involved/download-chromium • Chromeになる前の素のChromiumをビルドしたもの • Iridium • https://iridiumbrowser.de/ • 開発は遅いが、ポータブル版(インストール不要)があるのが嬉しい • Opera • https://www.opera.com/ja • 今は奇虎360の傘下

53. 参考文献 • 杉浦隆幸「Googleが仕掛けた罠」小学館新書, 2016 • 鈴木正朝,高木浩光,山本一郎「ニッポンの個人情報」翔泳社, 2015 • 宮下紘「ビッグデータの支配とプライバシー危機」集英社新書, 2017

    • 一田和樹「サイバーセキュリティ読本【完全版】 ネットで破滅しな いためのサバイバルガイド」講談社, 2017 • WIRED: 論争を呼んだChromeの「自動ログイン」機能は、こうして “修正”に追い込まれた • https://wired.jp/2018/10/14/google-chrome-login-privacy/ • ITMedia:「もうGoogleを使うのはやめないか？」 デジタルの巨人た ちの“行動追跡”から逃れる方法 • http://www.itmedia.co.jp/enterprise/articles/1810/10/news026.html • No More Google • https://nomoregoogle.com/ 55

54. Agenda •1st section Googleとトラッキング •“Chromeにログイン”と”google.comにログイン” •2nd section Privacy, Anonymity •行動ターゲティング

    •透明性(Transparency) •3rd section No More Google •Privacy重視のプロダクト 56