隠されたリダイレクト：Taboolaピクセルが銀行ウェブサイトでのTemuトラッキングにつながった経緯

銀行のウェブサイトに設置された一見無害な**Taboola**ピクセルが、ログイン中のユーザーを**Temu**のトラッキングエンドポイントにリダイレクトさせ、機密性の高いセッションデータを露呈させていることが判明しました。このインシデントは、多くのセキュリティスタックにおける重大な盲点を浮き彫りにしています。これらのスタックは、リクエストチェーンの実行時デスティネーションを検証できないことがよくあります。

2026-04-16T23:46:21 隠されたリダイレクト：Taboolaピクセルが銀行ウェブサイトでのTemuトラッキングにつながった経緯

![Reflectiz](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiaSzIRGweO7UJkqOLQTUDsqPy53XtIWCzyLklGJLfFxhneZiFpxg8zJRXukUqEsT4TbdFwUZbvTfwuexfGuiYjcDQ-iZDjqwZ2lDlCIhgopZWevBpdi4rr6GxgXpU6MmFnzdMpq_WGdA9PRfaNw_7eDAOugAV1tccfmREgbXveM1N15G2_L9lFxCq1Pv0/s1600/reflectiz.jpg) ある銀行は**Taboola**ピクセルを承認しました。そのピクセルは、ログイン中のユーザーを静かに**Temu**のトラッキングエンドポイントにリダイレクトさせました。これは、銀行の知らないうちに、ユーザーの同意なしに、そして単一のセキュリティコントロールも違反を検知することなく行われました。 ![11](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg9pKdAzKjL5V6CEuPbA7CD5xFjBpkOqL-XxkYEvvSv9XSHemsGnzmRwSEJJW8RPM0SGUDDo1T-aoBkjLSoE7WV8nO0qL-GESYQhpLOjkdzDycq9wL-ito6RIvHdc7JTyoP8cswyTsgr6B83ZcvmKPYYaQxmrUHDeuS0pauvY58Rv7d6ui91uCI8w3VtdA/s1600/11.jpg) ### **「ファーストホップバイアス」の盲点** WAF、静的アナライザー、標準的なCSPを含むほとんどのセキュリティスタックは、共通の障害モードを共有しています。それは、スクリプトの**宣言されたオリジン**を評価するものの、そのリクエストチェーンの**実行時デスティネーション**を評価しないことです。 `sync.taboola.com`がコンテンツセキュリティポリシー（CSP）の許可リストに含まれている場合、ブラウザはそのリクエストを正当なものと見なします。しかし、**302リダイレクト**のリクエストチェーンの最終的なデスティネーションに対して再検証は行われません。ブラウザが`temu.com`に到達する頃には、**Taboola**に付与された信頼を引き継いでしまっています。 ![2](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0QbtOoK8MI7htCehD5WBa4SBQnzWJK2E6JMG9Smn7sYrBan5GgjPfSewxt_4lw2D8jDB7SD-IWOdidlzZZP5y2GLbQpeKuuVNyqmT26KvQaA8vTJuq1ln31UhlIzAP62P5joyBfbe5PTcRSL1gPHt9cnYpLTFC1KPrCpSgHUW3aAdDDDZFIuVLwamyWo/s1600/2.jpg) ### **フォレンジックトレース** 2026年2月、欧州の金融プラットフォームの監査中に、**Reflectiz**はログイン中のアカウントページで実行されていた以下のリダイレクトチェーンを特定しました。 1. **初期リクエスト:** `https://sync.taboola.com/sg/temurtbnative-network/1/rtb/` へのGETリクエスト。 2. **リダイレクト:** サーバーは**302 Found**で応答し、ブラウザを`https://www.temu.com/api/adx/cm/pixel-taboola?...`にリダイレクトさせました。 3. **ペイロード:** リダイレクトには、重要なヘッダー `Access-Control-Allow-Credentials: true` が含まれていました。このヘッダーは、クロスオリジンリクエストにクッキーを含めるようにブラウザに具体的に指示します。これにより、**Temu**は、認証された銀行セッションを訪問したことが判明したブラウザに対して、トラッキング識別子を読み取ったり書き込んだりすることができます。 ![for](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzs0lr9XSw76U9Nq7NYo7jXlgjd5XFWzvYdKnInNQBIS4igd8IisDchWo7BaVmKZN8Kf56B8JLMxpOZucb1gjeQto-4Uyf3k6piBd73Y9bf_q49-K497hPi6yelC8ZmPFktUQqmRUGI7-M44-RRwUMV9G9w5v48Hgsids5rEF7dnsnuNzuL385iCVklTI/s1600/for.jpg) ### **従来のツールが見逃した理由** ```html <table><tbody><tr><td>ツール</td><td>見逃す理由</td></tr><tr><td>WAF</td><td>インバウンドトラフィックのみを検査し、アウトバウンドのブラウザサイドリダイレクトを見逃す。</td></tr><tr><td>静的分析</td><td>ソース内のTaboolaコードは確認するが、実行時の302デスティネーションを予測できない。</td></tr><tr><td>CSP許可リスト</td><td>信頼は推移的であり、最初のホップが承認されると、ブラウザはリダイレクトチェーンを自動的にたどる。</td></tr></tbody></table> ``` ### **規制上の影響** 規制対象のエンティティにとって、直接的な認証情報窃盗がない場合でも、コンプライアンス上のリスクが軽減されるわけではありません。ユーザーは、自分の銀行セッションの行動が**PDD Holdings**が保持するトラッキングプロファイルに関連付けられることを決して知らされていませんでした。これはGDPR第13条に基づく透明性の欠如です。ルーティング自体は、適切な国以外のインフラストラクチャを含んでおり、この特定のサードパーティ関係をカバーする標準契約条項がない場合、GDPR第V章の下では転送はサポートされていません。「ピクセルがそのようなことをするとは知らなかった」というのは、第24条に基づくデータ管理者の免責事項ではありません。 PCI DSSへの影響も複合的です。予期しないサードパーティドメインで終了するリダイレクトチェーンは、プライマリベンダーのみを評価したレビューの範囲外となります。これはまさに要件6.4.3が閉じるために作成されたものです。 ### **宣言だけでなく、実行時を検査する** 現在、同じ**Taboola**ピクセル構成が数千のウェブサイトで実行されています。問題は、このようなリダイレクトチェーンが発生しているかどうかではありません。それは発生しています。問題は、あなたのセキュリティスタックが最初のホップの先を見ることができるかどうか、それとも承認したドメインで停止して完了と見なすかどうかです。 **セキュリティチームへ:** 宣言されたベンダーリストだけでなく、実行時の動作を検査してください。 **法務およびプライバシーチームへ:** 認証済みページでのブラウザレベルのトラッキングチェーンは、バックエンド統合と同等の厳格さをもって評価されるべきです。 **脅威は正面玄関から侵入しました。あなたのCSPがそれを招き入れました。** ![3](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjJhTv9HGat1e2aZraBNEqPJQHwXEKBeaQgbLREvE2RMChvPSgHns8vBaYiuM385B5FoBqQ03bRUduV1WwVsXhp0-uvW_oTdAp5J_ueagyDYyrdKWpgwZYUXZBG6otrtNLIwFS8nDDTLNqGAUo-gqMKhWuZYxp8hjlxUDyKF_EosAyBpWgCBkch8Fbem-o/s1600/3.jpg)

📡 Intelligence Feed

隠されたリダイレクト：Taboolaピクセルが銀行ウェブサイトでのTemuトラッキングにつながった経緯

✏️ Edit Article