ブラウザのプライバシーモードを無視してしまう「スーパークッキー」とは?


ウェブサイトを閲覧するにはInternet ExplorerやGoogle Chrome、Firefox、Safariなどのウェブブラウザを使用する必要があり、これらのウェブブラウザにはプライバシー情報を保護するためにブラウジング時の履歴やCookie(クッキー)、一時ファイルなどを残さないプライバシーモードが存在します。しかし、プライバシーモードを使用してもこれらの機能を無視してユーザーの行動をトラッキングしてしまう「スーパークッキー」という手法が新たに生み出されました。

Browsing in privacy mode? Super Cookies can track you anyway | Ars Technica
http://arstechnica.com/security/2015/01/browsing-in-privacy-mode-super-cookies-can-track-you-anyway/


ChromeやFirefoxなどの一部のウェブブラウザは、ウェブブラウジングをした際の履歴やクッキー、一時ファイルなどをブラウザ上に残さない、プライバシーモードという機能を持っています。これはGoogle Chromeの場合は「シークレットウインドウ」、Internet Explorerの場合は「InPrivateブラウズ」、Firefoxの場合は「プライベートブラウジング」、Safariの場合は「プライベートブラウジング」となっており、スマートフォン向けのモバイルブラウザでもこれらの機能は使用可能です。

プライバシー面への関心が高いユーザーは、ウェブサイトに行動をトラッキングされたりアクセス元を特定されたりするのを防ぐためにプライバシーモードを使うことも少なくないはず。


しかし、ソフトウェアコンサルタントであり、RadicalResearchの運営者でもあるSam Greenhalgh氏が、非常に単純な方法でユーザーがプライバシーモードを使ってもその効果を無効化してユーザーの行動をトラッキングしてしまう手法を考案しました。これは、比較的新しいセキュリティ機構として知られる「HTTP Strict Transport Security(HSTS)」を応用するそうで、ユーザーがプライバシーモードを使用してお忍びでウェブブラウジングをしていても、ウェブサイト側は誰がどこからどんなコンテンツを見ているのか追跡可能となります。

そもそもHSTSとは、サーバーがウェブブラウザに対して現在接続しているドメインに対するアクセスでは次回以降HTTPの代わりにHTTPSを使うように、と伝達するセキュリティ機構です。サーバーにリクエストを送る際に、ブラウザが受け取るヘッダーにフラグを追加することで、HSTSはその後のウェブサイト側との接続をHTTPSプロトコルを使って暗号化してくれます。また、一度暗号化を行った後はそれ以降の全ての接続を暗号化してくれるので、ダウングレードアタックのような攻撃からユーザーを保護してくれる、というセキュリティ機構でもあります。

しかし、Sam Greenhalgh氏はこのHSTSを使ってプライベートモードでもユーザーの行動をトラッキングする方法を編み出しており、これを「HSTSスーパークッキー」と名付けて下記リンクにて概念実証しています。

RadicalResearch HSTS Super Cookies
http://www.radicalresearch.co.uk/lab/hstssupercookies/


Sam Greenhalgh氏が公開している上記リンクにアクセスすると、ユーザーごとに個別のトラッキングIDが青色部分に表示されます。これはユーザーが使用しているウェブブラウザに関する情報から自動生成されるもので、このデータは一度生成されると自動でブラウザ上に保存される、というまさにクッキーそのものな機能が働きます。


ページ上には「ページの更新」「同じブラウザの通常モードとプライバシーモードで同ページを開く」「ブラウザのクッキーを削除してページを更新する」「同じiCloudアカウントを使用している異なるiOS端末で同ページを開く」といったステップが書かれており、同じIDが表示される場合はブラウジングがトラッキングされていることを表す、とのこと。ページを更新するだけではクッキーは削除されず読み取り可能な状態なので同じIDが表示されるのが当たり前なわけですが、クッキーを取得できないはずのプライバシーモードにて同じIDが表示された場合、これはブラウザ側のクッキーが読み取られていることになります。

Google Chromeを使って「ページの更新」「同じブラウザの通常モードとプライバシーモードで同ページを開く」「ブラウザのクッキーを削除してページを更新する」の3ステップを実施してみたところ、「ページの更新」と「同じブラウザの通常モードとプライバシーモードで同ページを開く」ではIDが変わらず、プライベートモードでもばっちり行動をトラッキングされていることが分かりました。


ユーザーが何かしらの特別な対処を取っていない限り、スーパークッキーはユーザーがプライベートモードを使用していても、ユーザーのブラウジングを追跡可能とのこと。ただし、Firefox 34.0.5よりも最新のバージョンでは、プライベートモードになるとIDが変化するようになっており、スーパークッキーを使ったトラッキングは不可能となっています。また、ウェブブラジングの際にスーパークッキーでトラッキングされないための方法としては「プライバシーモードに切り替える前にブラウザのクッキーを削除しておく」といういたって簡単な方法が紹介されています。

・関連記事
どこからアクセスしているかを隠して匿名化できるブラウザ「Tor Browser」 - GIGAZINE

新たなHTTPステータスコード「308」とは? - GIGAZINE

インターネット文化における「1%ルール」とは? - GIGAZINE

世界を悩ませているインターネットのミステリー、謎の暗号「Cicada 3301」 - GIGAZINE

初代からIE9に至るまでのインターネットエクスプローラーの歴史 - GIGAZINE

in ネットサービス, Posted by logu_ii