ブラウザのFavicon(ファビコン)でユーザーを追跡する「スーパークッキー」とは？

ブラウザのタブなどに表示されるFavicon(ファビコン)は、サイトのシンボルとして重要なアイコンです。しかし、このファビコンにはCookie(クッキー)のようにユーザーを追跡可能な「スーパークッキー」の問題が潜んでいると、研究者らが警鐘を鳴らしています。

Tales of Favicons and Caches – Persistent Tracking in Modern Browsers
(PDFファイル)https://www.cs.uic.edu/~polakis/papers/solomos-ndss21.pdf

supercookie • workwise
https://supercookie.me/workwise

ファビコンとは、サイトのシンボルマークとしてタブやURLの隣などに表示される小さなアイコンのことです。

イリノイ大学シカゴ校のセキュリティー研究者らは2021年1月に、「ファビコンを悪用することでユーザーを識別し、キャッシュをクリアしたりシークレットモードを使用したりしても回避できない追跡を行うことが可能」との研究論文を発表しました。さらに、この論文を読んだドイツのソフトウェア開発者であるJonas Strehle氏が、実際にファビコンを使用してユーザーの追跡が可能なことを確認し、その方法を「スーパークッキー」と名付けて公開しました。

Strehle氏によると、ファビコンはブラウザがいつでも簡単に表示できるように、ローカルの「ファビコンキャッシュ(F-キャッシュ)」と呼ばれる領域に保存されているとのこと。F-キャッシュには訪問したサイトのURLやファビコンID、それらの有効期限であるTime to live(TTL)などの情報が格納されています。

このF-キャッシュを使うことで、ウェブ開発者はサブドメインやページごとにファビコンを設定して、ユーザーが閲覧中のページを一目で把握できるようにすることが可能です。しかし、このF-キャッシュを悪用するとユーザーがどんなページを見たかが判別できるので、ユーザーを高い精度で追跡することができるようになってしまうとのこと。この方法が「スーパークッキー」というわけです。

スーパークッキーの仕組みについて、Strehle氏は「ブラウザがサーバーにアクセスした際、ファビコンがローカルのF-キャッシュにあればそれ以上のリクエストは送信されません。一方、F-キャッシュになければファビコンを要求するリクエストが送信されます。そこで、要求されたリクエストを記録し、どんなファビコンが既にキャッシュされているかの情報を蓄積することで、クライアントに一意の識別子を割り振ることができるのです」と説明しています。

Strehle氏は、実際にスーパークッキーがどのように動作するのかを簡単に示したデモサイトも作成しています。

supercookie • welcome
https://supercookie.me/

上記のURLにアクセスしたのが以下。デモを開始するには、「To the Demo!」をクリックします。

すると、ブラウザが何回もリロードを繰り返し……

アクセスしたブラウザの識別番号が表示されました。

なお、上記のサイトは単なるデモなので、ブラウザのキャッシュをクリアすると識別番号が変わりますが、実際のスーパークッキーはキャッシュをクリアしても追跡を続けることが可能とされています。

以下は、上から順に「識別精度」「シークレットモードやプライベートモードの検出」「ブラウザのキャッシュやクッキーを消去した後の永続性」「複数のウィンドウの特定」「トラッキング対策の回避」を従来のクッキー(左)とスーパークッキー(右)で比較した表です。Strehle氏によると、通常のクッキーによる追跡はブラウザのクッキーを消去したり、VPNを使用したり、トラッキング対策の拡張機能を使ったりすることで防げますが、スーパークッキーは防げず精度も100％と完璧とのこと。

また、以下は各OSで使える主要なブラウザでスーパークッキーによる追跡が行えるかどうかをまとめた表です。ChromeやSafariは使用可能な全てのOSでスーパークッキーの影響を受けるほか、FirefoxもPCで使用するとスーパークッキーの餌食となってしまいます。唯一スーパークッキーの対象とならないのはBraveだけですが……

そのBraveも旧バージョンではやはりスーパークッキーによる追跡を受けてしまうとのことでした。