Taboolaピクセル悪用、Temuリダイレクトでセッション情報追跡
2026年 4月 17日
Taboolaピクセル経由のリダイレクトとセッション追跡
銀行のオンライン環境において、ログイン中のユーザーが意図せずTemu関連ドメインへリダイレクトされる挙動が確認された。通信はTaboolaピクセルを経由し、「sync.taboola.com」から「temu.com」へ遷移する流れとなっている。
この過程で、ユーザーセッションに関連する情報が第三者へ送信される可能性が指摘されている。
リダイレクト構造とセキュリティ検証の課題
本件では、初期リクエストの検証に依存するセキュリティ機構の課題が示された。Taboolaピクセルが許可された時点で信頼が付与され、その後のリダイレクト先が十分に検証されない構造となっている。
通信は「sync.taboola.com」から開始され、最終的にTemuのトラッキングAPIへ遷移する経路が確認されている。この過程において、セッション関連情報を含むクッキーが第三者へ送信される可能性がある。
その結果、ログイン状態のブラウザに対する追跡やセッション情報の取得につながる挙動が確認されている。
セキュリティ検証範囲と管理体制の課題
本件は、既存のセキュリティツールにおける信頼設定と検証範囲の課題を示す事例となった。認証済みページであっても外部ドメインとの通信が発生し、セッション情報が第三者へ送信される可能性が確認されている。
また、こうした挙動はデータ保護や外部連携管理の観点でも影響が指摘されており、サプライヤー管理やトラフィック監視の範囲が課題として浮上している。
本件を踏まえ、アクセス制御や通信監視を含む運用体制の見直しが重要となる。
