トラッキングのもっとも簡単な手口は、あなたがあるサイトを訪れたときにあなたのコンピューターに「サードパーティ」cookie を送信して保存させることだ。別のサイトを訪問したときに、あなたはその cookie によって識別される。これを繰り返していくうち、あなたがどんなサイトを訪れているのかという「ブラウズ習慣」が丸裸にされていく。
cookie を管理しておけばよいかと思うかもしれないが、事はそれほど簡単ではない。奴らの手口と トラッキングツールとしての cookie は進化し続けているのだ。「supercookie」と「Evercookie」がその例だ。
進化する cookie
リサーチャー Ashkan Soltani 氏は最近、カリフォルニア州サンフランシスコの Web 分析会社 KISSmetrics が「supercookie」を利用していることを明らかにした。
supercookie には自己増殖能力があり、削除されても蘇る。supercookie は、通常 coockie が保存されるフォルダだけでなく、Adobe Flash が一時領域として利用するフォルダや、HTML 5が利用する領域などにも置かれる。もし、これらのうちのいずれかが削除された場合でも、他を複製することで復活できるわけだ。
KISSmetrics のシステムは、あなたがブラウザをプライベートモードに設定しても、cookie を受け付けないようにしても、すべての cookie を削除しても、また複数のブラウザを使ってもあなたの Web 使用状況をトラックできる。
リサーチャー Samy Kamkar 氏は、「Evercookie」 のポイントをまとめている。これは、「極度にしつこい cookie」を生成する JavaScript API だ。それは、次の場所を含む少なくとも13の異なった場所に cookie 情報を複製する。
・標準 HTML の cookie 領域
・Flash 一時領域
・ETags
・Silverlight で使用されるローカル保存領域(Silverlight cookie)
・ステガノグラフィーを使用した画像のキャッシュ領域
・HTML 5の各種 cookie 領域
・ブラウザのリンク履歴保存領域
DNAサンプルを取る方法
もしあなたがこれらのうちのどれかを削除したとしても、他の場所に保存してある情報を使って Evercookie は簡単に蘇る。
デジタル指紋としてのブラウザ情報
Web サイトがブラウザからデジタル指紋を取得する手段としては、supercookie や Evercookie は氷山の一角に過ぎないことがわかっている。Web サイト側は、あなたがサイトを訪れる度にブラウザがリークする多くの情報によってあなたを認識できるからだ。
たとえば、あなたが web サイトを訪問するとき、あなたのブラウザはサイトに対して「ユーザーエージェント」と呼ばれる情報を提供している。それはたとえば、
「Mozilla/5.0 (Windows NT 6.1; rv:6.0) Gecko/20100101 Firefox/6.0」
といったものだ。これでサイト側は、あなたが 「Windows 7上で Firefox バージョン6.0を使用しており、microsoft Common Runtime Language のバージョン6を使用している」ことを認識する。だが、Web サイトの訪問者のうち8,000人に1人は全く同じユーザーエージェント情報を保有していることがわかっており、これだけではあなたを特定することはできない。
しかし、ブラウザがリークしている情報はそれだけではないのだ。ブラウザの細かなバージョン情報(14.0.835.202など)とブラウザにあなたがインストールしたプラグインもリークしている。また、利用しているモニタの解像度や色、設定されたタイムゾーン、地域と言語、システムフォントなどの情報もリークされている。ここまでの情報が一致するのは100万に1人の確率となり、十分にデジタル指紋として利用できるようになる。
こういった情報を組み合わせることで、結果としてそれはあなたを認識するデジタル指紋となる。厳密に言えば、あなたのブラウザを認識する� �ジタル指紋だ。Electronic Frontier Foundation による「Panopticlick project」 によれば、200万人の Web ユーザーのうち85%のユーザーはユニークなデジタル指紋を持つことがわかったという。この調査の際に使用されたのは、Web ブラウザから提供されるわずか8つの情報だった。
オーストラリア、メルボルンで今日は何である
その他の手法
ThreatMetrix や 41st Parameter のような企業は、あなたのコンピューターからデジタル指紋を取得する方法はまだ他にもあるという。その方法は公開されていないが、恐らく CPU 特性の計測、動作クロックの確認、ある種のマルウェアの存在チェック、コンピューターから送信される TCP/IP パケットの分析などによるのではないかと推測されている。
対処策 - Do Not Track (トラックするな:DNT)
現時点で、企業にデジタル指紋の収集を止めさせる手立てはない。では、アドネットワークやその他の企業からプライバシーを守るには、どうしたらよいだろうか?
いますぐにできることはブラウザの設定を変更し、トラッキングの拒否を Web サイトに通知することだ。Firefox ブラウザであれば、「オプション」を開き、プライバシータブをクリックして、「トラッキングの拒否をWebサイトに通知する」を選択する。こうすれば Web ブラウジング時に Web サイトに対して「Do Not Track(DNT)ヘッダー」が送信されるようになる。同様の設定は、Internet Explorer でも Safari でも可能だ。ただ、どういうわけか、Google Chrome だけはこの機能をサポートしていない。
非常に残念なことに DNT 通知を受け取った Web サイト側がそれに従ってくれるかどうかは、そのサイトの良心にかかっている。現状、多くの組織は無視している。(これは驚くことではない。たとえば、supercookie はその設計からしてユーザーの意向を無視している。ユーザーが cookie を削除しようとしても、勝手に増殖するのだから)
だが、Wasington D.C. に拠点を置く法律事務所 Sullivan & Worcester に勤務するプライバシーとデータセキュリティーの法的専門家 Elise Dietrich 氏によれば、DNT 順守に関する法整備は整いつつあり、1〜2年以内に法律が制定される見通しとのこと。そうなれば、ユーザーからのトラッキング拒否に違反した企業は、罰せられるようになる。いまから DNT を意識しておいても損はない。
アメリカの国旗の色は何を表していますか
それまでの間、次の手法でプライバシーをできるだけ保護しよう。
オプトアウト(Opt-Out:拒否)を設定する:オンラインツール「Network Advertising Initiative (NAI)」を利用してあなたのコンピューターにすでに存在しているアドネットワークからの cookie を「Opt-out」に設定できる。Opt-out に設定することで、アドネットワークは、トレイラー広告をブラウザーに送信できなくなる。だが、この設定をしても、トラッキングは可能だ。
ブラウザでサードパーティ cookie を無効にする: これは、ブラウザ上で簡単に設定変更できる。たとえば Internet Explorer であれば、「インターネットオプション」の「プライバシー」タブをクリックし「詳細設定」から無効に設定できる。サードパーティの cookie を無効にすると、あなたをトラッキングするサイトの数を減らすことができる。だが、Flash を利用したトラッキングに対してはこの手法は効果は無い。
Flash Player の cookie を削除する: 「Flash Player 設定マネージャー」で設定できる。Web サイト(YouTubeなど)で Flash 動画を再生し、画面を右クリックして「グローバル設定」を選択しよう。「記憶領域」タブを選択し「ローカル記憶領域設定」を設定する。Flash Player のバージョンが10.3以上で IE 8を利用している場合、サードパーティ cookie を無効に設定すれば Flash の cookie も無効に自動変更される。
閲覧履歴を削除する: KISSmetrics はすでに ETags を利用した Web ユーザーのトラッキングを止めたと言ってはいるが、他の企業が同じ技術を利用しているかもしれない。終了時には閲覧履歴を削除するよう設定しておこう。
JavaScript を無効に設定する: この設定でETags や Flash cookie を利用したトラッキングは困難になる。だが、この設定で表示できなくなるサイトもあるので要注意。
その他、次のプライバシーツールの利用も有効だ。
Collusion (Firefox) Firefox アドオンツール。cookie によるトラッキングをグラフ化して、その繋がりを可視化してくれるお勧めのツール。作者は Eli Pariser 氏による著作「Filter Bubble」を読み、このツールの作成を思い立ったという。
CCleaner(Windows)レジストリを掃除するソフトだが、Flash cookie も削除する。
Flush.App (MacOS) Flash クッキーをブロックしてくれるツール。
Betterprivacy (Firefox) Flashクッキーをブロックしてくれるアドオンツール。
TrackerBlock (Firefox) クッキーを選択してブロック。Flash やHTML5クッキーを管理可能。Opt-Out クッキーを削除しないように設定できる。
Ghostery (Firefox、Chrome、Safari、Opera、Internet Explorer) Web サイトで使用されているトラッキングツールを表示するブラウザアドオン。ブラウザ終了時に Flash や Sliverlight のクッキーを削除することもできる。
NoScript JavaScript をブロックしてくれる。信頼できるサイトに対しては、ホワイトリストを作成し JavaScript を許可することも。
0 件のコメント:
コメントを投稿