WebRTC の機能でローカル IP アドレスを含んで IP アドレスを収集するという機能がある。それを悪用することでローカル IP アドレスを知ろうとするウェブサイトがある。
最近見つけたサイトだと、えきネットがやっている。えきネットは早めにこの仕組を撤廃したほうがいい。
JavaScript を見たところ見事に IP アドレスを収集している部分でなにかしようとしている。
WebRTC を悪用するのを本当にやめてほしいのだが、どうせ悪用するサイトは減らないだろうし、その絶対的な対抗策を書いていきたい。
技術的な話は一番下にリンクを張ってあるので興味がある人は読んでもらいたい。
mDNS 機能を利用して防ぐ
Chrome M73 から入った機能で mDNS 対応というのが WebRTC の機能として入る。これはローカル IP アドレスはすべて UUID.local と変換してしまう機能だ。
時代遅れの WebRTC サービスは対応していないかもしれないが、そこはそのサービスを使わないほうがいい。
Safari Technology Preview では Experimental Feaures から mDNS を有効にできる。
Firefox では有効にする方法がわからないので、もし分かる人はコメントしてもらえると嬉しい。
この設定を入れることで悪意あるサイトはただの UUID が手に入るだけになり、何もできなくなる。是非「UUID ゲットできて嬉しい?嬉しい?」という気持ちで設定してほしい。
残念なことに悪意あるサイトによるローカル IP の取得を防ぐため、WebRTC という素晴らしい技術を無効にしてしまう人がいることもありこの記事を書いた。
是非、皆に広めてほしい。
