YouTube が動画内のテキストを自動的に確認

Google はブラウザの閲覧履歴や位置情報など、ユーザーの活動を監視しています。今回、Google の YouTube サービスで動画の中のテキストが読み取られていることが分かりました。

Sudofox というニックネームで知られるプログラマーの Austin Burk 氏は、別のサイトでクロスサイトスクリプティング (XSS) の脆弱性を発見した後にこの問題も発見しました。

Burk 氏はこの問題に対して責任ある公開を行うため、エクスプロイトの動画を関係者に見せられるように「Unlisted (非掲載)」として YouTube にアップロードしました。

動画には、Burk 氏が XSS エクスプロイトのテストで使用した URL が表示されています。この URL は Burk 氏の管理下にあり、動画のアップロード後に URL へのアクセス履歴を確認したところ、Google-Youtube-Links という名前のユーザーエージェントが複数回アクセスしていました。ユーザーエージェントとは、ソフトウェアが URL にアクセスする際に自らが何のプログラムであるか知らせる名刺となるものです。これについて、Burk 氏が考えられる説明は 1 つだけでした。彼は以下のように述べています。

動画の中で、それらの URL がアドレスバーに表示されていることにその時気付きました。どうやら YouTube は私の動画全体で OCR (光学式文字認識) を実行して、動画内のリンクを探索しているようでした。

YouTube にアップロードする動画には、複数の形態があります。「Unlisted (非掲載)」の動画は、リンクを知っているユーザーは閲覧できますが、YouTube の検索やおすすめには表示されません。「Private (非公開)」の動画は、投稿者が個別に招待したユーザーしか閲覧できません。

Burk 氏は自分がミスをしていないことを確かめるため、実際には存在しないドメイン上のフォルダとファイルを含んだ動画を「Private (非公開)」で投稿するという実験を行いました。およそ 5 分後、実在しないその URL は先ほどと同じ Google-Youtube-Links というユーザーエージェントから複数回アクセスされていました。

この結果に Burk 氏は危機感を覚えました。これは脆弱性を公表するセキュリティ研究者にとって問題となる可能性があると、彼は述べています。Burk 氏が想定する 1 つのシナリオは、セキュリティ研究者が SQL インジェクションの脆弱性を YouTube の「Private (非公開)」の動画で公開する、というものです。研究者は、悪意のある URL を公開するために YouTube の動画を利用する場合があるかもしれません。しかし研究者もベンダーも、テーブルを削除するなどの攻撃を引き起こす危険性がある URL を訪問しようとは思わないでしょう。ところが、もし YouTube が動画内の URL を掘り出してアクセスしているとすれば、それによって問題が引き起こされかねないと Burk 氏は指摘しています。

私たちは Burk 氏の懸念に賛同します。彼は以下のように述べています。

正直に申し上げて、私はかなり不安を感じています。特に、脆弱性の動画を手軽に公開するために YouTube の「Private (非公開)」や「Unlisted (非掲載)」の動画を利用することに対してです。望ましくないシナリオは他にも考えられます。なぜなら私たちは、このようなことが行われている理由も、掘り出された URL が何に使われるのかも知らされていないからです。

一方で、Google がアップロードされた動画に対して精査を怠れば、ネット上の不正で攻撃的なコンテンツからユーザーを保護していないという非難を浴びる可能性があります。精査するとなれば、動画内の URL を読み取って確認することになっても不思議ではありません。

いずれにせよ、今回の件は、たとえ Private (非公開) に設定したとしても個人情報をネット上にアップロードするべきではない、という教訓になります。