セキュリティ

トラッキング防止機能を回避してサードパーティートラッカーを有効にする手法が使われている

by fancycrave1

ウェブ上での行動はさまざまなトラッキングツールによって監視されていますが、近年ではユーザープライバシーの保護が重視されるようになり、Firefoxなどのブラウザではデフォルトでのトラッキング防止機能なども搭載されるようになりました。ところが、新たに「既存のトラッキング防止機能を出し抜いて動作するトラッキング手法」が発見されたと報告されています。

Address 1st-party tracker blocking · Issue #780 · uBlockOrigin/uBlock-issues · GitHub
https://github.com/uBlockOrigin/uBlock-issues/issues/780

Invasive scheme spotted that foxes tracker blockers | TechCrunch
https://techcrunch.com/2019/11/20/invasive-scheme-spotted-that-foxes-tracker-blockers/


ユーザーの行動をトラッキングする手法として一般的なのが、Cookieを用いたものです。Cookieには実際にユーザーが訪れたウェブサイトが発行するファーストパーティーCookieと、それ以外のドメインから発行されているサードパーティーCookieが存在します。サードパーティーによるトラッキングは複数のウェブサイトにまたがって行われ、ユーザーの閲覧履歴といった情報がターゲット広告などに利用されています。

こうしたサードパーティーによるトラッキングは、ユーザープライバシーを侵害するものだという風潮が近年は高まっています。たとえばAppleは2019年に新たな追跡防止ポリシーを発表し、「オンライン上のトラッキングをセキュリティ上の脆弱性と同様に扱うようになる」と海外メディアのTNWに指摘されました。

Appleは間もなくオンライン上のトラッキングをセキュリティ上の脆弱性と同様に扱うようになる - GIGAZINE


ところが、GitHubユーザーのaerisさんが2019年11月に報告した内容によると、「既存のトラッキング防止ツールでは回避できないトラッキング手法が発見された」とのこと。問題のトラッカーは、2019年10月から「購読者に対する全ての広告トラッカーを排除し、個人のプライバシーを保護する」と発表していた、フランスの日刊紙Liberationのウェブサイトで発見されたそうです。

Liberationのウェブサイトで発見された手法とは、サードパーティーにリダイレクトするサブドメインを用いたファーストパーティートラッカーを、ウェブサイトに埋め込むというもの。使用されたサブドメインはほぼランダムであり、Liberationのウェブサイトそのものをブロックしない限り、この方法でのトラッキングを阻止することは困難だと考えられます。

なお、Liberationのウェブサイトではこの手法を用いて、データ駆動型分析を行うEulerianという企業によるユーザートラッキングが可能となっていました。この問題に対してLiberationは、「ターゲット広告のために購読者を追跡していたのではなく、ウェブサイト分析のためにデータを収集していただけ」と主張しています。

by PhotoMIX-Company

記事作成時点では、今回発見されたブロックすることが難しいトラッキング手法は、それほど広く使われているわけではない模様。それでも、既存のサードパーティーCookieに代わるトラッキング手法を模索するウェブサイトにとって、この手法は有効な代替案になり得るとTechCrunchは指摘します。

オックスフォード大学のプライバシー研究者であるLukasz Olejnik氏は、「この設定はドメイン名の一部に予測不可能な文字列が含まれている場合、サードパーティーのトラッキングを防止するツールを効果的に回避できます」と指摘。Olejnik氏によると、同様のトラッキング防止ツールを回避する手法は、2014年の時点で既に開発されていたとのこと。それでも、今まではこの手法を導入する動機が弱かったためにあまり広まっていませんでしたが、近年ではユーザープライバシーを保護する風潮が強まっているため、導入するウェブサイトが増加する可能性は高いとOlejnik氏は考えています。

今回発見されたものと同様のトラッキング手法を無効にする方法について、Olejnik氏は「ウェブサイトが用いる特定のトラッキング手法を検出する、カスタムチェックモードをトラッキング防止ツールが搭載すること」を提案しました。

by JESHOOTS-com

この記事のタイトルとURLをコピーする

・関連記事
使用中のブラウザが広告やトラッキングからどのくらい保護されているかをボタン1つで確認できる「Panopticlick」レビュー - GIGAZINE

ブラウザの「トラッキング拒否機能」にはほとんど意味がないという指摘 - GIGAZINE

Appleは間もなくオンライン上のトラッキングをセキュリティ上の脆弱性と同様に扱うようになる - GIGAZINE

ユーザーのCookieを利用してクロスサイトトラッキングされるのを防ぐ機能「Intelligent Tracking Prevention」がSafariに導入される - GIGAZINE

iPhoneユーザーはプライバシー保護を重視するものの実際の行動に移せていないことが明らかに - GIGAZINE

in ネットサービス,   セキュリティ, Posted by log1h_ik

You can read the machine translated English article here.