「ウェブブラウザの閲覧履歴からユーザーを特定可能」とMozillaの研究者が発表

ウェブブラウザのFirefoxを開発しているMozillaの研究者らが、ブラウザの閲覧履歴だけを使用して高い精度で個人を特定することができたとの研究結果を発表しました。この発表により、匿名化された閲覧履歴であればオンライン広告の広告主などに悪用されないというこれまでの考え方が覆されるとの見方が広がっています。

Replication: Why We Still Can't Browse in Peace: On the Uniqueness and Reidentifiability of Web Browsing Histories | USENIX
https://www.usenix.org/conference/soups2020/presentation/bird

Mozilla: there is a high probability that your browsing history can be used to identify you - gHacks Tech News
https://www.ghacks.net/2020/09/01/mozilla-there-is-a-high-probability-that-your-browsing-history-can-be-used-to-identify-you/

Mozilla research: Browsing histories are unique enough to reliably identify users | ZDNet
https://www.zdnet.com/article/mozilla-research-browsing-histories-are-unique-enough-to-reliably-identify-users/

Mozillaのセキュリティ研究者であるサラ・バード氏、イラナ・セガール氏、マーティン・ロパトカ氏は、UNIX関連の研究開発団体USENIXが2020年9月1日に開催したセキュリティ会議で、ブラウザの閲覧履歴だけで個人が特定可能だとする研究結果を発表しました。

by Ash Geeky

バード氏らの研究チームは、閲覧履歴のプライバシー問題について指摘した(PDFファイル)2012年の研究からさらに踏み込んだ調査を行うため、実験参加者としてFirefoxユーザー5万2000人を募集。参加者から提供された1週間分の閲覧履歴と、次の1週間分の閲覧履歴を照合し、どれだけ正確にユーザーを特定できるかを調べました。

その結果、研究チームは4万8919個のユーザープロファイルの作成に成功。これらのプロファイルの99％は一意のもの、つまり同じものがないため個人を特定することが可能なプロファイルでした。調査の中で、研究チームの元には約66万個のドメインと約3500万個のウェブサイトへの閲覧履歴が集まりましたが、わずか50個のドメインへの閲覧履歴を使用したデータセットだけでも約50％の精度で個人を識別できたとのこと。さらに、ドメイン数を150個に増やすと識別率は80％以上に達したと研究チームは報告しています。

研究チームはまた、アクセス数上位1万サイトのうち、Facebookがアクセス履歴を収集しているサイトの数は7348サイト、Googleの親会社であるAlphabetの場合は9823サイトに及んでいることを指摘。論文の末尾で「GoogleやFacebookといったサードパーティーの企業は、訪問した全てのドメインを把握した今回の研究とほぼ同じ精度の識別率を達成しているおそれがあります」と結論付けました。

この発表を取り上げたIT系ニュースサイトのZDNetは、「Mozillaの調査結果は、分析会社やオンライン広告主がユーザーを追跡するには、膨大な閲覧履歴データなど不要だということを示唆しています。データが匿名化され、ユーザー名の削除やドメイン以外のURLアドレスの切り捨てが行われていたとしても、ユーザーの癖やお気に入りのサイトが分かるだけで、最終的には正体が明らかになってしまいます」と指摘しました。

また、ブラウザ関連のニュースを扱うテクノロジーブログのGhacksは、「ブラウザの保護機能を有効に活用して、サードパーティーの企業の追跡能力をそぐことが推奨されています。例えば、Cookieの無効化または制限、Firefoxのコンテナ機能、プライバシー設定の変更、定期的なデータ削除、プライバシーを強化する拡張機能の導入などの方法があります。ただし、これらの方法をもってしても、問題を完全に排除することはできないかもしれません」と述べて、完全なプライバシー対策はもはや困難であるとの見方を示しました。