ウェブサイトのユーザーを識別する「フィンガープリント」は考えられている以上にタチが悪いかもしれない

ウェブサイトはユーザーが後日アクセスしてきたときに識別できるようCookieを利用しており、閲覧履歴に基づいて広告が表示されます。しかし、FirefoxなどにはCookieをブロックして追跡させないようにする保護機能が搭載されていることから、Cookieの代わりとして用いられるようになってきているのが「フィンガープリント」です。この「フィンガープリント」はCookieを防いでいた手法が通用せず、タチが悪い存在だと開発者のbitestring氏が指摘しています。

Web fingerprinting is worse than I thought - Bitestring's Blog
https://www.bitestring.com/posts/2023-03-19-web-fingerprinting-is-worse-than-I-thought.html

bitestring氏は、「フィンガープリント」をサービスとして提供しているFingerprintJSという会社の機能デモンストレーションを用いて、いかにフィンガープリントがタチの悪い存在かを実証しています。

実証実験の手順は以下の通り。

1：フィンガープリント生成のために「FingerprintJS(https://fingerprint.com)」にアクセス
2：生成されたフィンガープリントを表示
3：ウェブブラウザのキャッシュやその他のすべてのサイトデータを消去
4：「FingerprintJS」に再アクセス
5：フィンガープリントと閲覧履歴を表示。Cookieやその他のサイトデータがなくても、同じフィンガープリントが生成されていて、以前閲覧した履歴が得られる。
6：ウェブブラウザのキャッシュやその他のすべてのサイトデータを再び消去
7：プライベートブラウジングモードで「FingerprintJS」にアクセス
8：フィンガープリントを表示し、過去2回の閲覧時とどう違いが出ているかを確認する。

bitestring氏がFirefoxで実際に試した結果が以下。1回目のアクセスで生成されたフィンガープリントは「sbJMsUtsW8zV7DBS0Fw9」。

アクセスした情報をすべて削除したにもかかわらず、2回目のアクセスでもフィンガープリントは同一。

さらに、情報を全削除した上でプライベートブラウジングモードでアクセスしてもフィンガープリントは同一でした。

ただし、Firefoxにはフィンガープリントに対する抵抗力を高める「privacy.resistFingerprinting」というオプションがあり、この値を「true」にして有効化すると、「FingerprintJS」は過去の閲覧を認識することができなくなりました。以下の画像は左からアクセス1回目、2回目、3回目で、フィンガープリントがすべて異なります。

同様に他のウェブブラウザでも確認を行うと、Google ChromeおよびChromium系統のウェブブラウザはフィンガープリント生成には無力で、異なるセッションでも同じフィンガープリントになります。

Chromeでのアクセス1回目

Chromeでのアクセス2回目

Chromeでのアクセス3回目

Tor Browserはブラウジングセッションがよりプライベートに設定されており、フィンガープリントも異なるセッションで同一になることはありませんでした。

Tor Browserでのアクセス1回目

Tor Browserでのアクセス2回目。常にプライベートブラウジングモードで動作するので、3回目のアクセスは行わなかったとのこと。

これらの結果から、bitestring氏はフィンガープリントから身を守りたい場合はTor Browserを利用するか、Firefoxで「privacy.resistFingerprinting」を「true」にすること、Chromium系統のブラウザを使う場合はBraveの利用を推奨しています。

なお、モバイル版でフィンガープリントが同一にならなかったのはTor BrowserとFirefoxで「privacy.resistFingerprinting」を「true」にした場合のみ。プライバシー第一のブラウザを名乗っているFirefox Focusで毎回セッションをクリアしてもフィンガープリントは同一のものになったそうです。