「FacebookやInstagramアプリはリンクをタップしたユーザーを詳細に追跡している」ことが元Googleエンジニアの調査により明らかに

Googleの元エンジニアが行った最新の調査によると、ユーザーがアプリ内のリンクをクリックした後もそのユーザーを追跡できるように、FacebookとInstagramの所有者であるMetaは専用のコードを利用しているそうです。

iOS Privacy: Instagram and Facebook can track anything you do on any website in their in-app browser · Felix Krause
https://krausefx.com/blog/ios-privacy-instagram-and-facebook-can-track-anything-you-do-on-any-website-in-their-in-app-browser

Meta injecting code into websites to track its users, research says | Meta | The Guardian
https://www.theguardian.com/technology/2022/aug/11/meta-injecting-code-into-websites-visited-by-its-users-to-track-them-research-says

Metaが提供する「Facebook」と「Instagram」のアプリは、ユーザーが投稿に含まれる外部リンクをタップすると、アプリ内ブラウザでリンクを開きます。この「外部リンクをタップした際の挙動」について、元Googleのプライバシー研究者であるフェリックス・クラウス氏は、「Instagramは広告をクリックした時を含め、アプリ内ブラウザで表示されるすべてのウェブサイトに追跡コードを挿入することで、ユーザーがどのボタンやリンクをタップし、テキストを選択し、スクリーンショットを撮影し、パスワードなどのフォーム入力を行ったかなどの、あらゆるユーザー操作を監視できるようにしています。追跡可能な情報にはユーザーの住所やクレジットカード番号なども含まれます」と語っています。

クラウス氏はブラウザがウェブサイトに追加するすべての余分なコードを一覧表示できるようなツールを構築することで、Metaによる追跡コードの挿入を検出しています。通常のブラウザやアプリでは、クラウス氏の追跡アプリがコードを検出することはありません。しかし、FacebookやInstagramといったアプリでは、最大18行のコードが検出されたとのこと。検出されたコードについて、クラウス氏は「特定のクロスプラットフォームトラッキングキットのように見える」としています。FacebookやInstagramといったアプリがインストールされていない場合、Metaは代わりに追跡コードのピクセルを呼び出し、ウェブサイト上でユーザーがどのような操作を行っているのか追跡します。これにより、Metaはあらゆるユーザーの「どのようなものに興味関心を抱いているか」を正確にプロファイルできるようになるわけです。

MetaはFacebookとInstagramという2つのアプリに追跡コードを挿入していることをユーザーに一切開示しておらず、クラウス氏の調査によればMetaの所有するアプリのひとつであるWhatsAppには、同様の追跡コードが挿入されていないとのこと。Metaが行っているような「ウェブページがユーザー端末上に表示される前に余分なコードを追加する」という行為は、「Javascriptインジェクション」と呼ばれ、これは悪意のある攻撃の一種としてみなされるケースがあります。例えばサイバーセキュリティ企業のFerootは、Javascriptインジェクションを「攻撃者がウェブサイトまたはウェブアプリケーションを操作して、個人を特定できる情報や支払い情報などの機密データを収集できるようにするもの」と説明しています。

Metaがいつ頃から自社アプリに追跡コードを挿入し始めたのかは不明ですが、2021年にAppleが広告目的のユーザー追跡を許可するかどうかをユーザー自身が選択できる「App Tracking Transparency(ATT)」を有効化したことで、Facebookの広告主はそれまでのようなターゲット広告を打つことができなくなりました。これにより、最終的にFacebookの株価は20％以上急落しています。この事態に対処するべく、Metaは自社の主力アプリ2つに追跡コードを挿入した可能性があります。

ついにFacebookのユーザー数が初の減少へ、株価は20％暴落 - GIGAZINE

これに対して、Metaの広報担当者は「このコードは我々のプラットフォームでユーザーが『トラッキングを許可する』を選択した際に機能するよう意図的に開発したものです」「このコードにより、ターゲット広告や測定目的でデータを使用する前の段階で、ユーザーデータを集計することが可能となります。このコードはピクセルを追加することなく、コンバージョンイベントを集計できるよう設計されています」「アプリ内ブラウザを介して行われた商品購入については、自動入力の目的で支払い情報を保存できるようユーザーに同意を求めています」と声明を発表しました。