サードパーティーCookieでユーザーのプライバシーを侵害し続けるChromeの「関連ウェブサイトセット(RWS)」とは？

プライバシー重視のウェブブラウザとして知られる「Brave」が、セント・アンドリュース大学、インペリアル・カレッジ・ロンドン、香港科技大学の研究者と共同でGoogleの「関連ウェブサイトセット(RWS)」について調査を実施し、ユーザーの意図しない形でプライバシー侵害が行われていると指摘しています。

Chrome is Entrenching Third-Party Cookies For Some Sites In A Way That Will Predictably, Inevitably Mislead Users | Brave
https://brave.com/blog/related-website-sets/

Googleは2020年にサードパーティーCookieを廃止すると発表しました。これはサードパーティーCookieがプライバシーおよびセキュリティに悪影響をおよぼすためです。FirefoxはデフォルトでサードパーティーCookieをブロックしていますが、GoogleはChromeでのサードパーティーCookie廃止計画を度々延期しており、2024年7月には廃止計画そのものを撤回しました。

GoogleがChromeからサードパーティーCookieを廃止する計画を撤回 - GIGAZINE

サードパーティーCookieの廃止に向けて開発を進めてきたGoogleは、準備の一環としてRWSをリリースしました。GoogleはRWSについて、「サードパーティーCookieによる広範なプライバシー侵害を再導入することなく、ユーザーにメリットがある場所でサードパーティーCookieのような動作を再度有効にするためのもの」と説明しています。具体的には、RWSは異なるドメインのサイト(例：facebook.comとinstagram.co.jp)が同じ組織によって運営されていることを宣言するための機能で、これによりサードパーティーCookieへのアクセスをブラウザに許可し、サイト間での情報共有を可能とするものです。

しかし、このRWSについて、Braveは「例えばChromeでサードパーティーCookieが廃止された後も、YouTubeにログインしていなくても、GoogleがYouTubeで視聴した動画をGoogleプロフィールにリンクできるようにすることを目指したものがRWSです」と指摘しました。

Braveの主任プライバシー研究者であるピーター・スナイダー氏は、「RWSはウェブのプライバシーモデルを弱体化させてユーザーを不利な状態にするものです。RWSはウェブサイトと広告主に利益をもたらすように設計されたもので、ユーザーのプライバシーを犠牲にしています。GoogleはRWSが関連ドメイン間でユーザーが『サインイン』した状態を維持することを可能にするため、ユーザーに利益をもたらすと主張しています」と指摘。

Braveは「RWSの背後にある動機は、ユーザーに不利益をもたらして広告主に利益をもたらすことです。RWSはGoogleが恥を忍んでサードパーティーCookieを廃止した後でも、Chromeが引き続き広告主のニーズを最優先に満たせるようにするためのものです」と記し、GoogleおよびRWSを批判しています。

Braveおよび研究チームは、RWSの基本的な前提が正しいかどうかをテストすることで、RWSがユーザーのプライバシーに与える影響を検討しました。RWSの前提とは、「ユーザーが2つの異なるサイトが相互に関連しているかどうかを正確に判断できるかどうか」です。研究チームはソーシャルメディアで募集した30人のウェブユーザーを対象に、20組のウェブサイトを提示し、それぞれのサイトが同じ組織により運営されているか否かを判断してもらいました。なお、ユーザーに提示されるサイトの組み合わせは、それぞれ異なるものになるよう調整されています。

この結果、一般的なウェブユーザーは2つのサイトが相互に関連しているかどうかを正確に判断できないことが明らかになりました。調査に参加したユーザーの73％が2つのサイトの相互関係について1度は間違った判断を下しており、ユーザーの全回答のうちほぼ半数の42％が間違った判断でした。さらに、RWSが機能するウェブサイトの組み合わせに対して、ユーザーは37％の確率で間違った判断を下しています。この結果を受け、Braveは「ユーザーはChromeがプライバシーを保護してくれていると思っているのに対して、実際にはプライバシーはまったく保護されていないという経験をすることになります」と指摘。さらに、Braveは「RWSはサードパーティーCookieが引き起こすプライバシー侵害とまったく問題を引き起こします」とも指摘しています。

なお、Braveは2024年11月4日からスペインで開催される2024 Internet Measurement Conferenceで、RWSに関する調査結果の詳細を発表する予定です。