Safari 14では裏技を使って規制をくぐり抜けていたサードパーティーCookieが対策される

2020年3月24日のアップデート以降、Appleのウェブブラウザ「Safari」はデフォルトでサードパーティーCookieをブロックするようになり、広告業者などが幅広いサイトに渡ってユーザーを追跡することを防止していました。これに対応して、広告業者側は「CNAMEクローキング」や「バウンストラッキング」という手法を用いて規制を回避していましたが、Safari 14のアップデートでこれらの抜け道をなくすと開発ブログで発表されました。

CNAME Cloaking and Bounce Tracking Defense | WebKit
https://webkit.org/blog/11338/cname-cloaking-and-bounce-tracking-defense/

CNAMEはDNSのレコードの種類の一つで、接続先のドメインを維持しつつ別のドメイン名へアクセスを転送する設定が可能です。サードパーティーCookieがブロックされるようになってから、広告業者はサイトのサブドメインに広告業者のドメインへのCNAMEの設定を行うことで、サードパーティーCookieをあたかもそのサイトのCookieであるかのようにふるまわせる手法「CNAMEクローキング」を開発し、抜け道として活用していました。

こうした手法が用いられた場合、複数のサイトに渡ったトラッキングが防げないだけでなく、CNAMEのレコードが適切に管理されない場合にウェブサイトが乗っ取られたり、Cookieハイジャックなどの危険があるとのこと。

Safariはアップデートでこの抜け道に対応し、ドメイン名を解決する際にCNAMEの転送先を確認して最終的なアクセス先をチェックするように変更したとのこと。最終的なアクセス先がサードパーティーだった場合、Cookieに7日間という有効期限が設定されるようになりました。

同時に、一度別のサイトへアクセスさせた後に即座に元のサイトにリダイレクトを行うことでサードパーティーのCookieをファーストパーティーだと認識させる「バウンストラッキング」とよばれる手法に対しても対策が取られているとのこと。

なお、CNAMEクローキングの対策はmacOSのCatalina以前のバージョンを利用している場合は適用されません。ブラウジングのプライバシーが気になる人は早めにmacOS Big Surにアップデートするのが良さそうです。