違うブラウザを使っていてもサイト閲覧を追跡できる恐るべきテクニック

by Jay Wennington

検索サービスや広告会社、ウェブサイトの管理人などが、インターネットユーザーをブラウザの種類・画面解像度・プラグインの名前などから識別していることはよく知られていますが、このようなトラッキングはこれまで、ブラウザを変えることで断ち切れていました。しかし、新たな研究で、ブラウザを変えてもトラッキングが継続され、しかも識別精度が非常に高くなるテクニックが発見されました。

(PDFファイル)Browser Fingerprinting via OS and Hardware Level Features
http://yinzhicao.org/TrackingFree/crossbrowsertracking_NDSS17.pdf

Websites Can Now Track You Online Across Multiple Web Browsers
http://thehackernews.com/2017/02/cross-browser-tracking.html

検索サービスやオンライン通販サイト、広告会社などがインターネット使用者の行動をトラッキングしている、ということはよく知られており、2013年にMicrosoftが「Google Chromeはあなたの個人情報をマネタイズして儲けている！」と主張するキャンペーンを実施したほど。これらのトラッキングにはブラウザの特徴を使ってユーザーを識別する「フィンガープリント」という手法が用いられますが、これまでウェブサイト側は、ユーザーがブラウザを変えるとトラッキングを継続できませんでした。つまり、Firefoxを使ってインターネットをする場合と、Google Chromeを使ってインターネットをする場合とで、「同じユーザーである」とは認識されなかったのです。

しかし今回、リーハイ大学のYinzhi Cao氏とSong Li氏、そしてセントルイス・ワシントン大学のErik Wijmans氏が新たなフィンガープリントのテクニックを発見。このテクニックを使うと、例え複数のブラウザを使っていても、ユーザーが「同一である」と識別されてしまうとのこと。

このテクニックは、コードを使ってブラウザに、グラフィックカードやマルチコアプロセッサ・サウンドカード・インストール済みのフォントなどを使用するタスクを課すもの。これらの特徴はコンピューターごとに少しずつ異なるものだからです。サーバー側はブラウザではなくOSやハードウェアの特徴をもとにコンピューターを特定するため、ブラウザを変更してもユーザーの識別が可能というわけです。

研究論文では1つの例として「クライアントのコンピューターにブラウザ上で3Dグラフィックをレンダリングさせながら、20のWebGLのタスクを課す」といったものが挙げられていますが、現在確認されているだけで、タイムゾーン・CPUのコアの数・GPU・ハッシュ値など36の機能を利用することによってコンピューターの識別が可能とのこと。なお、研究者らが1903人のユーザーに対して上記の手法を試みたところ、ユーザー全体のうち99.2％を識別できたそうです。

by Dai KE

このテクニックは純粋に研究の一環として発見されましたが、「クロスブラウザ・トラッキングを利用して人々がカスタマイズされた広告を表示することで、ユーザーの自由を侵害する恐れがあります」とのこと。「しかし、プライバシー侵害を打ち破るためには、私たちは敵をよく知る必要があるのです」と研究を行ったCao氏はIT系ニュースサイトのArs Technicaに対して語りました。