【安全知識】 スーパークッキーはプライバシーモードを解除してもユーザー情報を追跡し続けることができます

現在、主要なブラウザはすべてプライバシー保護モードを提供しています。 このモードでは、ウェブサイトのクッキーはユーザーの身元を追跡できません。 例えば、Google Chromeには「Insecretto」という機能があり、Firefoxには「プライバシーウィンドウ」機能があります。

しかし、この新たに発見された脆弱性により、ブラウザのプライバシーモードが機能しなくなります。 例えば、ユーザーが通常のブラウザを使用したり、Amazon.com でショッピングをしたり、Facebookを閲覧したりするとき、ユーザーは物議を醸すブログを閲覧するためにプライバシーウィンドウを開くことがあります。 もしブログがAmazonと同じ広告ネットワークを使っているか、Facebookの「いいね!」ボタンを統合しているなら、広告主とFacebookはユーザーがAmazonやFacebookと同時に物議を醸すブログを訪れていることを知ることができます。

この脆弱性に対する一時的な回避策はありますが、扱いが難しいです。ユーザーはプライバシーモードを有効にする前にすべてのクッキーを削除するか、専用ブラウザで完全にプライバシーモードで閲覧できます。

皮肉なことに、この脆弱性はプライバシー保護を強化するために設計された機能によって引き起こされています。

ユーザーがブラウザのアドレスバーのプレフィックス https:// を使って特定のウェブサイトからの通信を暗号化すると、一部のブラウザはこれを記憶します。 ブラウザは「スーパークッキー」を保存し、次にユーザーがウェブサイトに接続した際に自動的にhttpsチャネルに入るようにします。 このメモリは、ユーザーがプライバシーモードを有効にしても残ります。

同時に、このようなスーパークッキーは広告やソーシャルメディアのボタンなどのサードパーティのウェブプログラムがユーザーを記憶することを可能にします。

この脆弱性を発見した独立研究者のサム・グリーンヘルグ氏はブログ記事で、この機能はまだどの企業にも利用されていないと述べています。 しかし、この手法が公表された後は、企業がそれを止める手段はありませんでした。

オンラインプライバシーソフトウェア会社Abineの共同創業者ユージン・クズネツォフは、この「スーパークッキー」が次世代のトラッキングツールになると考えています。 この道具はクッキーから生まれましたが、より洗練されたものになりました。 現在、ユーザーは閲覧時に常に固有のデバイス識別子とブラウザの指紋を持ち、消去が困難です。

「スーパークッキー」の存在により、インターネットの匿名性はより困難になっています。 クズネツォフはこう述べた。「プライバシー保護をめぐる軍拡競争が起きている。 インターネットユーザーを追跡したいという欲求は寄生虫のようなものです。 ブラウザ内のあらゆるものがウェブサイトや広告主によって精査されており、追跡が強化されます。 ”

Mozillaはすでに最新バージョンのFirefoxでこれを修正していますが、GoogleはChromeをそのままにする傾向があります。 Googleはすでに「スーパークッキー」の問題を知っていますが、それでもChromeのhttpsメモリ機能を有効にし続けています。 セキュリティとプライバシー保護の間で、Googleは前者を選びました。

Microsoft Internet Explorerにはそのような問題はありません。なぜなら、このブラウザにはhttpsメモリ機能が内蔵されていないからです。

グリーンハル氏はまた、iOSデバイスでも「スーパークッキー」による問題が存在すると述べました。