前回の記事

同業他社のPVを知りたい？それなら SimilarWeb を使おう

の続きです。

今回は SimilarWebがどのようにして情報収集しているかについてのお話をします。

 

 

SimilarWebによる情報収集の仕組み

１．「SimilarWebの拡張機能を使ってね！」

SimilarWeb の機能を簡単に使えるブラウザ拡張があります。

SimilarWeb – トラフィックランク & ウェブサイト分析 – Chrome ウェブストア

現在閲覧中のサイトの情報を簡単に見ることができるというメリットがありますが、同時に自分が見ているウェブサイトの情報は SimilarWebに送信されます。

 

２．「無料で使う代わりに Google Analytics のデータを差し出せ！」

無料会員として登録すると、代わりに Google Analytics へのアクセス権を求めらることがあります。同業他社に自社PVが丸裸に見えてしまうということになりかねませんので注意が必要です。

 

３．「無料アプリ便利だよ！使ってね！」

スマホの無料アプリとか、ブラウザの無料拡張機能とかありますよね？

実はそういったアプリ等に、自分の見たサイトの情報をSimilarWebに送信する機能があったりします。

 

3.1 無料スマホアプリから収集

具体的なアプリ名は不明ですが

例えばAndroidアプリの場合は、バッテリーセーバーやGPS地図アプリなどから情報を得ている。

というSimilarWebの回答があります。

参考：「どんなサイトも丸裸に」、SimilarWebの手法はありなのか

 

 

3.2 ブラウザ拡張機能（アドオン・エクステンション）から収集

例えば昔、Google Chrome の拡張機能で Stylish というのがありまして、自分の好きなように他のサイトのデザインを変更してしまえる（自作CSSを適用できる）ものがありましたが、裏でこっそりとサイト閲覧履歴をSimilarWeb社に送信しており、さらにはそれが悪質だということで、マルウェア（≒ウイルス）判定されて公開停止になったことがあります。

拡張機能導入時にこんなメッセージが出てくるのですが――

この【アクセスしたウェブサイト上にある自分の全データの読み取りと変更】権限は 一番強い権限で何でもやり放題できるそうです。

例：勝手にSNSに投稿、勝手にSNSでフォローをする、入力中のパスワードを盗む

参考サイト：ブラウザ拡張の権限でどこまで（悪いことを）できるのか？とその対策【デモあり】

 

SimilarWeb側は「個人が特定できないよう匿名化されたデータのみ送信している」と主張していましたが、その後の解析で

・匿名化が行われず、個人が特定されるよう紐付けられていた

・通信内容でそのことがバレないよう、暗号化処理がされていた
（Base64なので厳密には暗号化でなく符号化だが、処理を二重にかけるのは暗号化を意図していたとしか考えられない悪質なもの）

・e-mail や認証トークンまで送信していたことも判明
（認証トークンが悪用された場合、会員制サイトに勝手にログインされる恐れがあります）

といったことが判明しています。（参考資料）

 

他にも Awesome Screenshot という画面キャプチャをする拡張機能が、SimilarWebにデータを送信している恐れがあるとされています。

Awesome Screenshot が閲覧したサイトのURLを収集している疑い

（たしかに利用規約には情報を送信したり、第三者に提供する旨の記述がありました）

 

 

 

 

ということで、以上が SimilarWeb の主な情報入手方法だとされています。

スパイ顔負けというか、そもそもイスラエルってモサドとかあるから、普通にそういう情報機関の出身者とかいるんだろうなぁ、とか考えてしまいますね。

皆様もあまりよくわからないアプリとか入れないように気をつけましょう。