リクエストOff the Record

この記事は、Braveブラウザの新しいプライバシー機能を紹介するシリーズの第26回目の投稿になります。今回は、暗号研究者のSofia Celiとシニアリサーチ・プライバシーエンジニアのShivan Sahibによる多大な協力を得て行われたシニアソフトウェアエンジニアのMark Pilgrimの対応をご紹介します。この投稿はPeter Snyderによって書かれた記事の日本語訳です。

バージョン1.53より、Braveに リクエストOff the Record（OTR）と呼ばれる新機能が搭載されます。この機能は、自分のコンピュータや電話端末にアクセス可能な第三者にWebの閲覧履歴を見られたくない人、例えば、親密なパートナーからの暴力の被害者でパートナーに知られることなく支援サービスを探す必要がある人や、家庭内の他の人に知られることなく医療機関を探す必要がある人など、このような方々を支援することが目的としています。

リクエストOTRでは、Webサイトがオプションで自身のコンテンツを “センシティブ"と表示することができます。その際ブラウザは、ユーザーがOTRモードでサイトを訪問するかどうか選択することができます。OTRモードでは、まだ使用されていない一時保存領域でサイトにアクセスします。OTRモードで訪問したサイトは、閲覧履歴に保存されず、クッキー、パーミッション、その他のサイトデータもディスクに保存されません。それに対して、訪問した他のサイトは通常のWebアクセスとして一時データが保存されますので、デバイスにアクセスする他の人には普段と異なる動作が起こったことに気づかれにくくなります。

リクエストOTRは、一般ユーザーのプライバシーニーズをサポートするBraveの機能の一つで、ブラウザが一般的に検知する標準的な脅威のさらに先まで保護します。Braveは、他のブラウザベンダーと協力してOTRを標準化し、閲覧履歴の保護が必要なブラウザユーザーが、どのブラウザを使用していても、Web上でプライバシーと安全を確保できるように働きかけています。

この機能は、複数の市民団体や被害者支援団体の意見を取り入れ、協力して設計されています。私たちは、Center for Democracy and TechnologyのCTOであるMallory Knodelの以下の見解に賛同します。

BraveブラウザのOTRモードは、どのWebサイトを閲覧履歴に残すかを簡単に選択できるようにするものです。「攻撃的な知り合い」が身近にいる方や、ブラウザが何を記憶し何を記憶しないかを自身でコントロールしたいユーザーを保護する重要なプライバシー・イノベーションです。この機能は、Webブラウジングをする人たち、つまり私たち全員に力を与え、コンテンツ消費に関するより大きな選択肢を与えてくれるものです。

— Mallory Knodel, CTO at the Center for Democracy and Technology

一部のユーザーは、デバイスにアクセスできる人から閲覧履歴を隠す必要があります

多くの場合、Webプライバシーについて語るとき、Webサイトから個人データを保護することを意味します（例：訪問したサイトを記録するGoogleをブロックする）。

しかしプライバシーに関するニーズはこれだけではなく、それらのニーズは現在ほとんどのブラウザにおいて、あまり提供されていません。身体的虐待を行うパートナーStanと同居している仮想のWebユーザーSarahを例に考えてみましょう。Sarahは安全に関係性を断つために、自分の住んでいる地域の法律、医療、その他の支援サービスについてWebで調べる必要があります。しかし、StanはSarahが別れようとしているのではないかと疑い、Sarahがサポートサービスに連絡していないかどうか、Sarahの電話やパソコンなどのデバイスを監視し始めます。

残念ながら、ブラウザはSarahのようなユーザーを保護できないだけでなく、実際にはStanのような加害者が他人のデジタル利用を簡単に監視できるようにしているのです。ブラウザは明示的（閲覧履歴、DOMストレージ、クッキーなど）にも不可視的（キャッシュ状態、保存された資格情報、URLオートコンプリートなど）にも、私たちの閲覧行動や興味に関する情報を大量に記録します。さらに良くないことに、Sarahのような人を保護するためにブラウザが提供しているツールは不完全で、正しく使用することは困難です。

現在のブラウザツールは、危険な身内からの保護機能が不足しています

現在、ブラウザはユーザーが機密性を必要とするサイトでの活動を保護するのに役立つ様々なツールを提供しています。しかし、これらのツールは自身の安全のために、デバイスにアクセスできる他者から特定サイトへの訪問を隠す必要がある人々を保護することはできません。既存のツールは、隠す量が多すぎたり（その結果悪用者から疑われる）、少なすぎたり（その結果悪用者が閲覧履歴を復元できる）、または使いこなすのが困難だったりします。

プライベートウィンドウ（別称：インコグニートウィンドウ）を使用すると、ユーザーはブラウジングアクティビティを永久に記録されることなくWebを閲覧することができます。しかし、プライベートウィンドウはデバイス上の監視からユーザーを守るには不十分です。ストレスがかかる状態にあると、サイトにアクセスする前にプライベートウィンドウを開くのを忘れてしまい、サイト訪問が記録されてしまうことになってしまうこともあります。また、プライベートウィンドウを閉じるのを忘れてしまい、閲覧履歴を隠したい機密性を必要とするサイト以外でもプライベートウィンドウでブラウジングを続けてしまうことも、同様にありがちです。このような場合、プライベートブラウジングモードが使用されていることが加害者に知られることになり、それだけで疑いを持たれたり、被害者がさらに危険にさらされる可能性があります。

同様に一部のブラウザには、特定のサイトに対するブラウザのストレージを削除するために使用できる高度なブラウザコントロールがあります。この方法はサイト訪問中にユーザーを保護するのではなく、サイト訪問後に実行する必要があるという欠点があり、ブラウザをすぐに閉じる必要がある場合、ユーザーを危険にさらす可能性があります。さらにこれらのコントロールは見つけるのが難しく、技術的な知識がないユーザーにとって正しく使用するのは難しい場合があります。そして、これらのブラウザコントロールは通常、サイトの保存値（例：クッキーや権限）のみを削除し、ユーザーが他の痕跡（例：閲覧履歴やキャッシュ）を削除できないことがあります。

最後に、一部の機密性を必要とするサイトでは、サイト自体にクイック離脱ボタンを設置し、閲覧者がサイトから素早く離脱できるようにしています。これは、加害者からなかなか見つからなくなる方法です。この方法は便利ですが、しかし不完全でもあります。クイック離脱ボタンは、多くの種類のサイトデータ（パーミッションやキャッシュなど）を削除することができず、閲覧履歴を変更することはできません。さらに、ブラウザがユーザーを保護することができないため、サイト上の実装に完全に依存してしまいます。

BraveのリクエストOTRは、斬新で強力な保護機能を提供します

BraveのリクエストOTRによるアプローチは、機密性を必要とするサイトがユーザーの閲覧履歴やローカルストレージに保存されないための包括的な方法を提供します。どのサイトもOTRを要求することができ、ユーザーにOTRを希望するかどうかを確認するプロンプトが表示されます。ユーザーが希望した場合、Braveブラウザはそのサイトのための一時的な記憶領域を作成し、ユーザーの閲覧履歴にはサイトの訪問を記録しません。OTRセッションはサイトに関連付けられ、ユーザーが同じタブで訪問した他のサイト（他のタブで訪問したサイトも含む）は、通常通り閲覧履歴に記録されます。

具体的には、BraveのリクエストOTRは、以下のような方法でユーザーを保護します。

1. ユーザーは、機密性を必要とするサイトを閲覧している間ずっと保護されているため、後で閲覧履歴を消去する必要がありません。
2. 他の機密性を特段必要としないサイトでは通常通り閲覧履歴が記録され、加害者が不審に思うような閲覧履歴の大きな欠落を防ぐことができます。
3. Cookie、キャッシュ、閲覧履歴、パーミッションなど、対象となるサイトの動作すべてがディスクに保存されないようにします。
4. OTRを通じてサイトがその機能を悪用することはできません。ユーザーが明示的に許可を与えない限り、サイトがOff the Recored(OTR)状態になることはありません。

サイトはどのようにOff the Recordモードをリクエストするのか

Braveは親密なパートナーからの暴力に苦しむ人々や、機密性を必要とするサイトへの訪問を閲覧履歴から除外する必要がある人々を支援するために、リクエストOTRを開発しました。しかし、OTRはあくまでも一般的なブラウザの機能として、Web上のどのサイトでも使用できるようにされています。

Request-OTRヘッダー

現在、サイトがBraveにOff the Recordを要求する方法は2つあります。ひとつめの方法は、Webサイトアクセス時の最初のナビゲーション・リクエストに対するレスポンスに Request-OTR: 1 というヘッダを含めることです。ブラウザがこのヘッダを確認すると、ブラウザはナビゲーションを停止し、ユーザーにOff the Recordでサイトを訪問したいかどうかを尋ねます。

ユーザーがOff the Recordを選択した場合、ブラウザは以下の二つを実行します。

• ブラウザの履歴にサイトへのアクセスを記録しません
• キャッシュ、Cookie、権限設定などで使用する一時領域を作成します

以降ブラウザは、同じタブ、同じサイト内のすべてのサイト内のページで、この一時記憶領域を使用し続けます。ユーザーがタブを閉じたり、サイトを離れたりすると、一時領域は破棄され、閲覧行動は通常通りに記録されるようになります。

リクエストOTR対象リスト

2つ目の方法は、Braveにあらかじめ登録されている Request off the record パートナーサイトリストです。このリストに登録されるサイトは、パートナーからの暴力被害者に支援を提供しており、ブラウザ上で機密性を必要とするサイトとして扱われることに興味があるとBraveに伝えているサイトです。このリストは、すべてのサイトが前述のヘッダーアプローチを実装できるようになるまでのつなぎとして設けられました。

BraveのリクエストOTRにおける制限

BraveのリクエストOTR機能は、機密性を必要とするサイトへの訪問が、明示的にも（ブラウザ履歴、Cookie）不可視的にも（キャッシュ、権限設定など）ユーザーのブラウザ履歴に記録されるのを防ぐものです。BraveのリクエストOTR機能は、Braveのセキュリティバグバウンティプログラムの対象です。Off the Record設定時のデータが正しく削除されなかった場合はご報告をお願いいたします。

しかしながら、BraveのリクエストOTR機能は、サイトアクセスに関する情報を記録する可能性のある他のソフトウェアからユーザーを保護するものではないことに注意する必要があります。Braveブラウザが閲覧履歴を隠蔽できないソフトウェアの例として、以下のものがあります。

• ブラウザ拡張機能
• ネットワーク・スパイ
• 端末にインストールされたマルウェアやスパイウェア
• Off the Recordで訪問する前後にサイトが保存した情報（例：Google検索やGmailで「Googleウェブ履歴」を有効にしている場合など）。
• OSレベルのログ
• クラッシュログ

Braveは、このような脅威に対してどのような追加的な保護を提供できるか検討していますが（プライベートブラウジングモードなどのシステムと同様に）BraveのリクエストOTRモードは、コアなブラウジング行動とデータの記録を防ぐだけである旨、あらかじめご認識ください。

リクエストOTRの今後

デスクトップ用ブラウザの次期バージョン1.53で、Android版は1.54リリースでリクエストOff the Record機能がリリースされる予定です。この機能はまもなくユーザーに配布される予定ですが、今この機能を試したい方はbrave://flagsにアクセスして#brave-request-otr-tabを有効にすることでこの機能を有効にできますが、ブラウザの実験的な機能をテストすることのリスクを理解している場合のみ行うようにしてください。お気づきの点がありましたらぜひフィードバックをご連絡ください。

また、リクエストOTR機能をさらに改善するための検討を早くもはじめています。まず、 George Washington大学およびPaderborn大学の専門家や研究者と協力して、リクエストOTRがユーザーにどのように理解されているかを評価し、この機能が提供する（あるいは提供しない）保護機能をユーザーに正確に伝えるにはどうすればよいか考えています。この共同研究の結果はこのブログで共有し、BraveのRequest-OTRの将来のバージョンに反映させる予定です。

第二に、私たちは他のブラウザ、組織、Web企業と協力して、リクエストOTRを標準化し、他のWebサイトやブラウザのユーザーがこの保護の恩恵を受けられるようにすることを検討しています。私たちの現在の実装は様々な、虐待被害の支援者、技術者、ブラウザの専門家、NGOと協力した結果であり、Webユーザーを最大限にサポートするため、これらの組織と引き続き協力いたします。