WebRTC の機能を利用した悪意あるローカル IP 取得を防ぐ

WebRTC の機能でローカル IP アドレスを含んで IP アドレスを収集するという機能がある。それを悪用することでローカル IP アドレスを知ろうとするウェブサイトがある。

最近見つけたサイトだと、えきネットがやっている。えきネットは早めにこの仕組を撤廃したほうがいい。

Image for post
Image for post

JavaScript を見たところ見事に IP アドレスを収集している部分でなにかしようとしている。

WebRTC を悪用するのを本当にやめてほしいのだが、どうせ悪用するサイトは減らないだろうし、その絶対的な対抗策を書いていきたい。

技術的な話は一番下にリンクを張ってあるので興味がある人は読んでもらいたい。

mDNS 機能を利用して防ぐ

Chrome M73 から入った機能で mDNS 対応というのが WebRTC の機能として入る。これはローカル IP アドレスはすべて UUID.local と変換してしまう機能だ。

時代遅れの WebRTC サービスは対応していないかもしれないが、そこはそのサービスを使わないほうがいい。

Safari Technology Preview では Experimental Feaures から mDNS を有効にできる。

Image for post
Image for post

Firefox では有効にする方法がわからないので、もし分かる人はコメントしてもらえると嬉しい。

この設定を入れることで悪意あるサイトはただの UUID が手に入るだけになり、何もできなくなる。是非「UUID ゲットできて嬉しい?嬉しい?」という気持ちで設定してほしい。

残念なことに悪意あるサイトによるローカル IP の取得を防ぐため、WebRTC という素晴らしい技術を無効にしてしまう人がいることもありこの記事を書いた。

是非、皆に広めてほしい。

mDNS を利用したローカル IP の隠蔽の技術的な話

Written by

Erlang/OTP / 時雨堂 / WebRTC / E2EE

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store