• 2019/03/24
• 2019/03/24
• コイン東京編集部 コイン東京編集部

ブラウザ拡張機能「メタマスク」にプライバシー問題が噴出｜イーサリアム・アドレスが訪問WEBサイトに晒される

イーサリアム・アドレスが意図せず露呈される状況

Metamaskは、イーサリアムのトークンウォレットであり、イーサリアム・ブロックチェーン上で展開されている分散型アプリケーション（dapp）へのゲートウェイとして機能します。
ブラウザの拡張機能として、Mozilla Firefox、Google Chrome、Opera、Braveと互換性があります。Metamaskはこの種類野中で最も人気のあるアプリの1つで、Chromeの総インストール数は100万以上とされています。

Metamaskは現状、アクセスした全てのウェブサイトにユーザーのETHアドレスが意図せずにブロードキャスト（「Message broadcasts」と呼ぶ）される状態になっているという。同社は昨年、これに対処するための機能「プライバシーモード」を構築しました。しかし、デフォルト設定でプライバシーモードが「オフ」になっています。

20日に暗号コミュニティメンバーが、Github上にこの問題を提起しました。投稿者によると、プライバシーモードがオフの場合、ユーザーがWebサイトを閲覧している間に「広告やトラッカー」がETHアドレスを検出する事が出来ます；

“Amazon、Google、PayPalなどのサイトでは、ブロックチェーンのトランザクションをクレジットカードの支払いに関連付けることができるため、システム内の全員のプライバシーが犠牲になります。”

Metamask開発者による弁明

メディア「Hard Fork」が新規のアカウントを発行して確認した所、サードパーティのトラッカーがMessage broadcastsを検出する場面を再現する事ができました。JavaScript コンソール上に、MetaMaskのETHアドレスを含む小さなパケットのデータが送られました。

Message broadcastsが機能する事で「FacebookのLikeボタンや、Twitterのリツイート投稿など」と同様に、ユーザーのETHアドレスを広告やトラッカーにリレーできることを意味します。

GitHub上の指摘に対し、Metamask開発者のDan Miller氏は、デフォルト設定でプライバシーモードをオフにした理由について「古いdappに不都合が生じる可能性があるため、先延ばしにしていた」と説明しました。

「確かに、これはデフォルトでまだ有効にされていません。以前のdappの動作を壊すことになる事と、ユーザーが手動でレガシーアプリケーションにログインする機能を追加すれば、古いサイトを壊さずにこのプライバシー機能を追加できる事に気づいたからです。」

修正プログラムが今後公開されるのかについて、現状では明確なスケジュールは示されていません。MetaMaskは以前からこの問題を認識しており、昨年11月6日までに解決されることになると、ブログで述べていました。

「デフォルトでプライバシーモードをすぐに有効にする予定ですが、我々の対応がスロウな事に対する批判は正当であり、真剣に受け止めています」とFinlay氏は付け加えました。


関連記事

ウォレット「MetaMask（メタマスク）」が新機能「プライバシーモード」をリリース

関連キーワード

おすすめのバックナンバー