広告主は私たちを追跡したがっています。私たちは通常、追跡されることを望みませんが、常にそうであるとは限りません。最良のケースでは、私たちはその事実を認識しており、オプトアウトポリシーやサードパーティのアドオンを利用して、インターネット上で私たちの足跡を嗅ぎ分け、マーケターが私たちの興味をより効果的にターゲティングできるよう、私たちに関する情報を収集するために設計された固有のコードやパターンに関心がないことを表明したり、技術的にブロックしたり、削除したりしています。
しかし、私は広告主に厳しく当たりすぎています。実際には、広告が配信され、マーケティングデータが収集・販売されるプラットフォームを構築する広告ネットワークやその他の当事者の行動が問題なのです。オンライン広告のエコシステムには多くの専門企業が関わっており、例えばノードストロームが、自社の広告の一部が私たちの意図、ひいてはプライバシーを侵害する目的でサイトに表示される可能性があることを知っているとは言い難いでしょう。多くの広告主は、自社の広告がどこに表示されるのかさえ、実際には把握していません。これは変わるべきです。広告主は、利用するネットワークについて、プライバシーとテクノロジーに関する外部監査を受けるべきです。
一般人にとって厄介なのは、強力な追跡システムを簡単に破る方法がないことです。ご存知かもしれませんが、ウェブサイトを訪問すると、ブラウザのCookie(小さなテキストファイル)がブラウザに送信され、ブラウザがそれをローカルキャッシュに保存します。次回訪問時には、ブラウザはそのCookieをサイト上のすべてのページのページリクエストの一部として送信します。これにより、アカウントを持つサイトでログイン状態を維持したり、アカウントを必要とせずにブラウザごとにサイトの設定を保存したりできます。
しかし、これは氷山の一角に過ぎません。確固たる倫理観を欠き、あるいは合法かつ常識的な行動の限界を軽視するあらゆる種類のトラッキング企業は、エバークッキーやスーパークッキーを悪用しています。スーパークッキーは数クリックでは削除もブロックもできません。このコラムでは、自分自身を保護し、システムをクリーンアップするための方法について詳しく説明します。
鉄でできたクッキー
実装は様々ですが、原理的にはJavaScriptを利用して再生成を行います。ブラウザ固有のIDを埋め込んだ特定の場所のマーカーが削除されたことを検知すると、そのマーカーを再度作成します。こうした技術を使用しているサイトにアクセスすると、残存するIDを探すだけでなく、キャッシュを削除したり、何らかの方法でIDを無効化したりした場合に備えて、IDを再度拡散させようとします。
ただし、永続的な再生成Cookie技術を使用しているすべてのサイトが、ネットワークIDを隠すためにあらゆる手段を講じているわけではありません。より詳しく調べれば調べるほど、追跡される可能性が低くなるか、全く追跡されなくなる可能性が高まります。
最善の策は、ブラウザでプライベートブラウジングモードを使用することです。プライベートブラウジングモードは、プライベートセッションがアクティブな間のみ、あらゆる種類のローカルキャッシュデータを保存します。すべてのシークレットウィンドウを閉じるか、プライベートモードを終了するとすぐに、あらゆる種類のCookieがキャッシュと共に削除されます。実際、「evercookie」という用語の考案者であるSamy Kamkar氏は、2010年に概念実証を公開した際に、Safariのプライベートブラウジングモードは当時、あらゆるevercookieメソッドの存続を阻止していたと示唆しています。
しかし、常にプライベートブラウジングを使用するのは不便です。やりたいことの中には、ログイン状態を維持する必要があるものもあります。プライベートウィンドウと通常のウィンドウを併用すると便利かもしれませんが、少なくともかなりの時間を「パブリック」ブラウザで過ごすことになるでしょう。
カムカー氏が、エバークッキーを保管できる多くの経路を発見したことを発表して以来、痕跡を残す経路の中には閉鎖されたものや無効化が容易になったものもあるが、一方で無効化がさらに困難なものもある。
最も基本的なレベルでは、正当なブラウザCookieであれば、保存方法を制御したり、簡単に削除したりできます。今年初めに、広告ネットワークに紐付けられていることが多いサードパーティCookieを無効にする方法について記事を書きました。また、ブラウザによっては様々な方法でCookieを一括削除したり、サイトや名前ごとに個別に削除したり、保存されているCookieをすべて削除したりすることも可能です。これは、最も信頼できる広告テクノロジーにおいて役立ちます。
Evercookiesは、Microsoft SilverlightとAdobe Flashという2つの主要なストリーミングビデオブラウザプラグインに依存することがよくあります。これらのプラグインは独自のキャッシュとストレージ機能を備えており、セッション間、さらにはブラウザ間でも利用できます。Silverlightは現在も使用されており、一部のストリーミングビデオサービスでは必須となっていますが、現在使用されているサービスが見つからない場合は、通常はアンインストールできます。
時代遅れで安全性に欠けるFlashは、はるか昔に人気がなくなり、ブラウザメーカーもその使用を推奨していません。macOS Sierraでは、SafariはデフォルトでFlashを読み込まず、Webサーバーに表示可能なマルチメディア技術の種類を通知することさえありません。もしサイトが依然としてFlashを推奨しようとする場合は、クリックして一度限りまたは継続的にFlashを有効にする必要があります。
その他のいくつかの方法は、ブラウザ キャッシュと HTML5 ストレージ メカニズムに依存しています。これらは、Web アプリがブラウザに情報をより簡単に保存し、ブラウザがローカルで、さらにはインターネットに接続していなくても操作できるように設計されています。
グレン・フライシュマン macOS 版 Safari では履歴やその他のデータを消去できますが、すべてのキャッシュをダンプするには開発者向けオプションも使用する必要があります。
これらの要素はすべてユーザーが削除できるわけではありませんが、定期的にキャッシュを削除することで改善する可能性があります。macOSのSafariには、軽量版と完全版の2つのオプションがあります。「軽量版」オプションの場合、Safariで「Safari」>「履歴を消去」を選択し、ポップアップメニューから「すべての履歴」を選択すると、アクセスしたページやブラウザのCookieなど、膨大な数の項目が消去されます。履歴を消去すると、リンクされているすべてのiCloudアカウントからも削除されます。
最重要オプションとして、Safari > 環境設定 > 詳細で「開発」メニューを有効にする必要があります。「メニューバーに開発メニューを表示」にチェックを入れます。「開発」メニューから「キャッシュを空にする」を選択します。選択後、警告や戻るボタンは表示されません。これにより、すべてのローカルストレージ、すべてのブラウザCookie、そしてWebブラウザに関連するすべてのキャッシュが削除されます。
全てのタブを閉じ、キャッシュと履歴を消去し、ブラウザを終了して再起動したところ、Cookieが隠れていることはなくなりました。しかし今では、いつも利用するサイト全てにログインし直さなければなりません。1Passwordを使えばそれほど難しくはありませんが、間違いなく代償を払うことになります。また、正規のサイトによるオフラインストレージの使用もすべて消去されました。
iOS では、プライベート ブラウジング モードを使用していないときに Safari のすべてのデータを消去する方法が 2 つあります。
- Safariでブックマークボタンをタップし、ブックマークタブをタップして履歴をタップします。下部の消去ボタンをタップすると、期間を選択できます。「全期間」をタップしてください。
- または、設定アプリを使うこともできます。「設定」>「Safari」で「履歴とWebサイトデータを消去」をタップし、「履歴とデータを消去」をタップします。期間の選択はできません。
グレン・フライシュマン Safari 内から Cookie と Web サイトのデータを消去しますが、evercookie が保存されている可能性のあるキャッシュをすべてダンプすることはできません。
(Web サイト固有のデータのみを削除することもできます。[設定] > [詳細設定] > [Web サイト データ] をタップし、項目が読み込まれるのを待ってから、一番下までスワイプします。[すべての Web サイト データを削除] をタップします。ただし、この場合、ブラウザの Cookie はそのまま残ります。)
iOS にはすべてのキャッシュを空にするオプションがないため、evercookie トラッキングのリスクが高まります。つまり、あまりよく知らないサイトやサービスではプライベート ブラウジングを使用する方が賢明です。
2010年にカムカー氏が最初の投稿をしてから、巧妙な追跡企業は、統計的にユーザーを特定できる可能性のある別の方法を発見してきました。ブラウザメーカーはこうした点をより懸念しているようで、個人情報やブラウザで特定可能な情報が漏洩する可能性のあるいくつかの方法にパッチを当てています。
見て!溝の奥に!糞だ!説明があるぞ!
エバークッキーは自己再生を好むが、スーパークッキーは避けられない存在でありたい。少なくとも2つの大手インターネットプロバイダー、AT&TとVerizon Wirelessは、ユーザーのWebリクエストにグローバル識別子を挿入し、あらゆる場所でインターネットアカウントを使ってユーザーを追跡できるようにした。これはひどいアイデアであり、実装もまずかった。広告ネットワークや悪意のある第三者が、不変の番号を使って顧客や顧客ネットワークを一意に識別できたからだ。
両ISPともスーパークッキーの使用を停止しましたが、スーパークッキー自体を禁止する規定はありません。問題は、情報開示の拡大と、そのようなトラッキングをオプトアウトする手段の問題でした。
しかし、仮想プライベートネットワーク(VPN)を使用するか、常に安全なバージョンのサイトにアクセスすることで、ネットワークベースのインジェクションによるWebベースのアクティビティのラベル付けを防ぐことができます。また、ネットワークが管理していないWebページの上部にポップアップ警告を表示することも回避できます。これは、JavaScriptやその他のコードを挿入する可能性があるため、セキュリティ上非常に危険な行為です。
前者については、TunnelBearやCloakなどのレンタルVPNサービスを利用できます。これらのサービスは、時間やデータに基づいた様々なサブスクリプションを提供しており、コンピューターやiOSデバイスからローカルネットワークを経由してインターネット上の別のデータセンターにあるVPNサーバーまで、あらゆる通信を暗号化できます。Opera Softwareのような無料VPNもありますが、プライバシーポリシーを確認してください。
ウェブサイトへの接続を常にhttpsで維持することは以前より困難でしたが、徐々に容易になってきています。ブラウザは、https接続でない場合により強いシグナルを発するようになるでしょう。多くのウェブサイトが、たとえ些細なデータであってもユーザーに関する情報を明らかにし、悪意のある第三者が顧客との接続にマルウェアなどの無意味なファイルを注入しようとする可能性があることに気づき始めています。さらに、電子フロンティア財団のプロジェクトにより、https接続に必要なデジタル証明書の取得が無料になりました。
重要なところでプライバシーを強化
セキュリティに配慮する人なら、JavaScriptが情報を保存するあらゆる方法を監視し、Webサーバーから送られてくるキャッシュデータを調べることができるように思える。こうした無意味な行為を隠そうとする努力にもかかわらず、evercookieの挙動は特徴づけられ、ブロックしたりユーザーに警告したりすることは可能だ。
Appleのようなブラウザメーカーは、これらの機能を提供することで、トラッキング対策にさらなる効果をもたらす可能性があります。エバークッキーが存在する理由はありません。通常のクッキーを削除するのは意図的な行為であり、それを回避しようとする試みはユーザーの利益にはなりません。現状では、上記で述べた多くの手法を駆使する必要があり、核兵器に頼らない選択肢を用意しておくべきです。
