ハクソク

世界を動かす技術を、日本語で。

LinkedInがあなたのコンピュータを不正に検索しています

53日前原文(browsergate.eu)

概要

  • Microsoft傘下の LinkedInによる大規模な企業スパイ活動 の疑い
  • ユーザーの 同意や通知なしでPC内ソフト情報を収集・送信
  • EU法を含む多くの法域で 違法かつ犯罪行為の可能性
  • 収集データは 個人識別・競合調査・規制回避 などに利用
  • 調査団体Fairlinked e.V.による 証拠収集と法的対抗運動

LinkedInによる大規模な企業スパイ活動の実態

  • LinkedIn は、訪問ごとにユーザーPCを 隠れたコードでスキャン し、インストール済みソフト一覧を取得
  • 取得結果は LinkedInサーバーおよび第三者企業(例:HUMAN Security) へ送信
  • ユーザーへの通知・同意は一切なく、プライバシーポリシーにも未記載
  • ユーザーの 実名・勤務先・役職情報 と紐付けて特定個人を標的化
  • 世界中の 数百万人規模の企業・個人 が日々被害

違法性と個人情報侵害

  • 取得情報には 宗教・政治的信条・障害・転職活動 などのセンシティブデータも含む
  • EU法ではこの種のデータ取得は規制ではなく全面禁止
  • 同意・開示・法的根拠が一切存在しない 状況

競合調査・営業秘密の不正取得

  • Apollo、Lusha、ZoomInfo など200超の競合製品利用状況をスキャン
  • 取得情報で 各企業の競合製品利用マッピング を実施
  • 顧客リストの不正抽出・競合ツール利用者への警告送付 事例あり

EU規制への偽装対応と監視強化

  • 2023年、EUの Digital Markets Act(DMA) で規制対象「ゲートキーパー」に指定
  • LinkedInはAPIを2つ限定公開し「規制対応」と主張
    • しかし、内部API「Voyager」は 163,000回/秒 で稼働
    • EU提出資料249ページ中、「API」533回、「Voyager」0回
  • 規制強化と同時に 監視対象ツール数を急拡大(2024年461→2026年6,000超)
  • 第三者ツール利用者の特定・排除体制 を構築

サードパーティへのデータ送信と不可視追跡

  • HUMAN Security (旧PerimeterX)製の不可視トラッキング要素を全ページに埋め込み
    • ゼロピクセル・画面外・ユーザー不可視
    • Cookie設置・暗号化通信・未開示
  • LinkedIn自社サーバー・Google のサードパーティスクリプトも同時稼働

Fairlinked e.V.による告発と支援呼びかけ

  • Fairlinked e.V. :LinkedIn商用ユーザーの利益代表団体
  • BrowserGate :本件調査・証拠収集・社会啓発・法的対抗キャンペーン
  • Microsoft は33,000人の法務スタッフと150億ドルの法務予算
  • 公正な責任追及のため 一般ユーザーの支援・資金提供 を要請

まとめ

  • LinkedInによる隠密な情報収集・監視行為 は、個人・企業双方に深刻なリスク
  • EUを含む多くの法域で違法性が高く、刑事責任の可能性
  • 競合排除・規制回避・個人監視 のための大規模なデータ利用
  • 社会的認知拡大と法的対処 のため、ユーザー・企業・規制当局の連携が不可欠

Hackerたちの意見

509の求人検索拡張機能をスキャンするって、ほんとにひどいよね。LinkedInが拡張機能をインストールしてるのを検知して、雇用主にフラグが立つなんて想像したくないわ。

LinkedInは求人掲示板だから、そんなことはないと思うけど。

数年前、働いてた会社が「従業員が辞めようとしてるかもしれない時に通知を受け取る方法がある」って言ってたのを聞いたことがある。今考えると、LinkedInやいろんな求人サイトがデータを売ってたのかなって思う。

これは信頼の大きな侵害だよね。 > 「スキャンはLinkedIn関連のツールだけを探してるわけじゃない。イスラムコンテンツフィルター(PordaAI - “ハラムな物体をぼかす、イスラムの価値観のためのリアルタイムAI”)を使ってるかどうか、反シオニストの政治タグ付けツール(Anti-Zionist Tag)をインストールしてるか、神経多様性のあるユーザー向けのツール(simplify)を使ってるかも特定する。」

ほぼ確実に、彼らはそれを使ってオーディエンスのセグメンテーションや広告ターゲティングをしてる。賢いけど、気持ち悪い。これは悪役のヒゲを生やした経営者の発明じゃなくて、お金を道徳よりも大事にする社員やそのグループの発明だよ。こういう社員は手下として考えるべきだね。

何千もの拡張機能をスキャンしてるから、その中には変な名前のもあるよ。

なんでブラウザが拡張機能のAPIをウェブページにさらす必要があるの?Firefoxもそうなの?

「攻撃:どうやって機能するか」ってセクションがその仕組みを説明してるよ。APIじゃないんだ。CORSが適用されないのはちょっと驚きだけどね。

「ChromeベースのブラウザでLinkedInを開くたびに、LinkedInのJavaScriptがインストールされているブラウザ拡張機能を静かにスキャンする。」ただ、彼らがChromeベースのブラウザだけでテストしたのか、Firefoxがそれを許可してないのかは不明だね。

Firefoxはインストール時に拡張機能のIDをランダムにするって聞いたことがあるから、たぶん大丈夫じゃないかな?

chrome-extension://.....を呼び出してるみたいだから、Firefoxには関係ないと思う。

見出しがちょっと誤解を招く感じだね。実際に起こってることはこんな感じだと思う。 > 「ChromeベースのブラウザでLinkedInを開くたびに、LinkedInのJavaScriptがインストールされているブラウザ拡張機能を静かにスキャンする。スキャンは特定の拡張機能をIDで探し、結果を収集して暗号化し、LinkedInのサーバーに送信する。これは侵入的に感じるし、現代のブラウザフィンガープリンティングコードで見られるようなことだと思う。拡張機能を検出するためのAPIがどれだけあるかは詳しくないけど、特定の拡張機能をスキャンするのはAPIの制限(例えば、getAllExtensions()が使えないとか)によるものだと思う。もちろん、これを支持するわけじゃないし、問題があると思うけど、注目されてるのは嬉しい。ただ、状況を過剰に煽るような表現にはちょっと疑問がある。広告コードを実行してるほとんどのウェブサイトからはこの行動を期待してるし、それが理由で広告ブロッカーを使ってるんだ。」

それには同意できないな。こういう行動にはしっかり反発すべきだと思う。LinkedInが私のインストールしてるブラウザ拡張機能に何の関係があるの?この問題の枠組みは適切だと思うよ。

スキャンは特定の拡張機能をIDで数千件探って、結果を集めて、暗号化して送信するんだって。それに、たぶんバイブコードも使ってるから、LinkedInのタブが2つで1GBのRAMを使うって話(数日前に話題になってた)。

こういう挙動は広告コードを使ってるほとんどのウェブサイトで期待しちゃうよね。だから広告ブロッカーを使ってるんだ。こういうことを期待して受け入れるから、みんな広告ブロッカーを使いたくなるんだよね。広告ブロッカーも完全な保護じゃないし、イタチごっこだよ。あなたに関する情報を引き出したり、行動に影響を与えたりする新しいアイデアは、知られるまで広告ブロッカーでは対処できないし、そもそもそのフィルターリストを作ってる開発者がそのための時間をかける価値があるかどうかも問題だし、それを有効にするとウェブのどれだけの部分が壊れるかも考えないといけない。

これはスクレイピングへの対策だと思う。LinkedInはBEC詐欺をやる詐欺師にかなりスクレイピングされてるから、禁止されたアカウントをつなげる方法を見つけようとしてるんだ。私は、うちのサービスから禁止しなきゃいけないような不正な人たちを引き寄せるサイトを運営してるけど、彼らを再禁止するために追跡するのが、業界の他の製品よりも優れている理由の大きな部分なんだ。良いユーザーを追跡することには全く興味がないし、このデータを再販したり悪意のあることをするつもりもない。目的は本当に、良いユーザーにとってウェブサイトをもっと楽しめるようにすることだけなんだ。

インストールされた拡張機能をブラウザで調べるのが「コンピュータをスキャンしてる」じゃないってどういうこと?ブラウザのサンドボックスを侵害してないから誤解を招くタイトルだって言うのは間違いだよ。これはほとんどの人が考えもしなかったシナリオだからね。ChromeはV3への変更でextensionIdのランダム化を追加したから、明らかに意図されたシナリオじゃない。

vs. 本質的に悪意のあるもの(例:「彼らはあなたがムスリムかどうかを確認している」) 特定の拡張機能をターゲットリストに入れることを選んだんだから、それが悪意がないわけないでしょ?もしリストにLinkedInのページに直接影響を与える拡張機能だけがあったら(かなりの部分がLinkedInの生産性ツールみたいだし)、ある程度の言い訳ができたかもしれないけど、そうじゃない。君はただ「何も起こらない」って言ってるだけだよ。

広告コードを運営しているほとんどのウェブサイトからこの行動を期待するようになったし、だからこそ広告ブロッカーを使ってる。最初からこの行動を普通だと受け入れるべきじゃない。

つまり、getAllExtensions()みたいなものが使えないのか、あるいは何か悪意のあることがあるのか(例えば、「あなたがムスリムかどうかを確認している」)。でも、特定のブラウザ拡張があるかどうかで、宗教的な所属を推測できると思うよ。

「使い方」ページには、Chrome系のブラウザでしか動作しないって書いてあるけど、FirefoxやSafariも影響受けてるか分かる人いる?

Firefox系のブラウザは影響を受けてないよ。

ユーザーには一切聞かれないし、知らされない。LinkedInのプライバシーポリシーにも書いてない。最近はLLMで書かれた記事ばっかりで、もう疲れた。ほんとに。

それが狙いだよ。インターネットを信じられないくらいクソにして、みんなが受け入れて進むしかないようにするんだ。

これ、すごく普通の言葉遣いだし、私がこの引用を書くときのスタイルに近いから、なんでこれがLLMのテキストだと思うの?

Chrome(実際にはChromium)ベースのブラウザでLinkedInを開くたびに。 Firefox(uBlock Origin付き)を使い続ける理由があるし、絶対に乗り換えないよ。それに、前の仕事をクビになったときに新しい仕事を見つけるためにLinkedInのプロフィールを作ったけど、新しい仕事が見つかってからは、もう2年近くLinkedInにはログインしてない。

このウェブサイトはわかりにくかったけど、https://browsergate.eu/extensions/のページが一番役に立った。彼らが何を言ってるのか理解するのに。要するに、彼らはあなたをラベリングしてるんだけど、スキャンしてる拡張機能の種類によって面白いプロフィールに対してだね。

そもそも、拡張機能を取得するためのJS APIがあるのはなんで?誰がそんなの必要とするんだろう。

全然驚かないよ。LinkedInはデータ収集にますます攻撃的になってるし、明確な同意なしにあなたのアドレス帳を丸ごとインポートしたのがバレたの覚えてる?同じような感じだね。