(EFF) 指紋認証とは何か?

Categories
< Back
You are here:
Print

(EFF) 指紋認証とは何か?

以下はEFFのウエッブの記事の翻訳です。


最終更新日 7-14-2020

指紋認証とは何か?

デジタル指紋認証とは、リモートのサイトやサービスがユーザーのマシンに関するちょっとした情報を収集し、それらの情報を組み合わせてユーザーのデバイスのユニークな画像、つまり「フィンガープリント(指紋)」を形成するプロセスです。主な形態としては、ユーザーがリモートサイトにアクセスする際にブラウザを通じて情報が配信されるブラウザ指紋認証と、ユーザーがデバイスにインストールしたアプリケーションを通じて情報が配信されるデバイス指紋認証の2種類があります。

ほとんどの場合、指紋認証は、ユーザーがアクセスしているサイトやユーザーが使用しているアプリによって直接行われるのではなく、第三者によって行われます。個人がデバイスを使用する際、特定のサードパーティ製トラッカーが、インストールされた複数のアプリや訪問したサイトで読み込まれることがあります。これにより、その(サードパーティの)企業は、個人が訪問した複数のサイトやインストールしたアプリの利用状況を横断的に追跡することができます。これらのトラッカーは、ユーザーの日々の活動をこれまでになく詳しく把握し、ユーザーがいつ何をしているのか、どこでデバイスを使用しているのかまで把握できるほど具体的な情報を提供していることが多い。

指紋認証とリターゲティング

指紋認証は、トラッキング企業によって広く行われており、トラッキング企業はこの情報を使ってユーザーをターゲットにした広告を出したり、データブローカーに情報を売ったりしています。デジタル広告は、数千億ドル規模のビジネスです。リターゲティング(再訪問者を認識し、以前の閲覧履歴に基づいてマーケティング資料を提供すること)は、マーケティング担当者にとって、クリック率を高め、収益を上げるための強力な手段です。

ウェブ上で広告をリターゲティングする最も一般的な方法は、ブラウザのCookieであり、アプリでは、iOSとAndroidの両方で提供されている広告主IDを使用することができます。しかし、ユーザーはCookieや広告主IDを消去することで、特定のブラウザやモバイルデバイスにリンクされた永続的な識別子を削除することができます。あなたのブラウジング習慣を、ボード上の異なるピンをつなぐ文字列と考えてみてください。それぞれのピンはあなたが訪れたサイトを表しており、トラッカーはその文字列をたどってあなたが過去に訪れたサイトを確認することができます。クッキーを消去することは、このひもを切るようなもので、ひもを切る回数が増えるほど、ひもは小さくなります。トラッカーは、あなたが過去にどこを訪れたかを知ることができなくなります。

指紋認証では、新たな永続的な識別子を作成することで、切断できない文字列を作ります。識別子はブラウザやデバイスのすべての特性をまとめたものであるため、ブラウザやデバイスの特性を逆に利用することになります。指紋認証が存在する理由は、ユーザーが自分のブラウザをコントロールできるようにするユーザーがもっている通常のコントロールを回避するためです。自分のブラウザやデバイスのコントロールを取り戻すためには、指紋認証に対抗する特別なツールを使用しなければなりません。

トラッキング技術としての指紋認証の有効性

トラッカーにとって指紋認証が有効であるためには、2つの基準を満たす必要があります。

まず、持続性があることです。ユーザーの指紋認証が頻繁に変化した場合、トラッカーはあるユーザーの訪問と次の訪問を見分けることができません。ウェブサイトやアプリを長期間にわたって利用しているのが同じユーザーであることを判断するためには、この訪問を結びつける機能が不可欠です。この永続的な識別子は、クッキーのようにユーザーが簡単に削除できるものの代わりに使用されます。フィンガープリント(指紋)は、ユーザーのマシンに何も保存されないため、削除することはできません。

次に、フィンガープリント(指紋)は一意でなければなりません。2人以上のユーザーが同じフィンガープリント(指紋)を持っている場合、トラッカーは、フィンガープリント(指紋)を使って個人を識別する能力を失います。この能力がなければ、トラッカーはユーザーを個別に追跡することができず、「パン作りが趣味」や「飛行機が好き」など、特定のマーケティングカテゴリーに分類することができません。2010年に開始されたユーザーのブラウザに関するPanopticlickの調査では、大多数のブラウザがこの2つの条件を満たしていることがわかりました。

フィンガープリント(指紋)対策

指紋認証対策ツールが効果を発揮するためには、2つの戦略のうちの1つをとることができます。まず、指紋認証を有効にする上記の2つの基準のうち、1つまたは両方を取り除くことを試みます。2つ目は、トラッカーのリストを作成し、ブラウザやモバイルデバイスでの読み込みをそれぞれブロックすることです。

ブラウザにおけるフィンガープリント(指紋)の持続性を破壊しようとするツールは数多くあります。キャンバスフィンガープリントAudioContextのフィンガープリントなど、特定の特性の結果をランダム化しようとするものもあります。これは永続性を破壊するための効果的な方法ですが、トラッカーはランダム化ツールが使用されていることを知る可能性があり、このこと自体がフィンガープリント(指紋)の特性になり得ることに注意する必要があります。フィンガープリント(指紋)の特性をランダム化することが、トラッカーに対抗する上でどのように効果的であるか、あるいは効果的でないかについては、慎重に検討する必要があります。

ブラウザは、そのすべてのインスタンスを同じ外観にすることで、指紋認証に対抗することもできます。ブラウザのすべてのインスタンスのフィンガープリント(指紋)特性を同じにすることで、ブラウザの特定のインスタンスを一意に特定することができなくなります。これは、匿名ツール「Tor Browser」が採用している方法です。

A grid of many different browser types with unique robots in each one.

多くの種類のブラウザを格子状に並べ、それぞれにユニークなロボットを配置したもの。ほとんどのブラウザはユニークに見えるため、トラッカーはウェブ上でそれらを追うことができる。

A three by five grid of Tor Browsers with purple robots that all look the same.

Torブラウザを3×5のグリッドに並べ、すべて同じ見た目の紫色のロボットを配置。Tor Browsersは見た目が同じなので、トラッカーは指紋を取ることができません。

これは正しく行えば、指紋認証に対して非常に有効です。Tor Browserは、すべてのブラウザがすべての特性で同じように見えるようにするために作業が必要な場所を何十箇所も特定しました。これが重要なのは、トラッカーの目をそらすつもりで個々の設定を変更しているユーザーが、実際にはトラッカーにとって自分のブラウザを識別しやすくしてしまうことがあるからです。

最後に、ツールがトラッカーのリストを作成し、それらを直接ブロックすることもできます。これは、EFFの「Privacy Badger」など、多くのブラウザのアドオンや拡張機能で採用されている方法です。これらのツールは、トラッカーをブロックすることで、フィンガープリントを行うトラッカーの大部分がブラウザに読み込まれないようにすることができます。指紋認証を利用してユーザーを特定するものの大部分を占めるサードパーティ製トラッカーは、ユーザーのブラウザを特定することができません。

これは指紋認証をブロックするための非常に有効な方法ではありますが、指紋認証を行う機能を完全にブロックすることはできません。まだ特定されていないより巧妙なトラッカーや、サードパーティではなくユーザーがアクセスしているサイトが直接行うフィンガープリントは、ほとんどの場合許可されます。これは、ほとんどのユースケースでは十分ですが、強力な匿名性を保証するものではありません。

フィンガープリントアンカーリンク対策のために自分で設定をカスタマイズしないこと

フィンガープリンティング対策のために自分で設定をカスタマイズしても、意図した結果になることはほとんどありません。

例えば、使用しているブラウザとそのバージョンを識別するユーザーエージェント文字列を、ウェブ上で最も一般的に使用されているブラウザのユーザーエージェント文字列に変更したいと思うかもしれません。これは直感的に理解できます。一般的なユーザーエージェント文字列を使用すれば、より一般的で追跡しにくいフィンガープリントになりますよね?しかし、場合によっては、最も一般的なユーザーエージェント文字列を使用すると、指紋が少なくなるのではなく、より多くの指紋を取得することになります。これは直観的ではありません。より一般的な指標を選択すると、どうしてより目立つようになるのでしょうか?

これは、ユーザーエージェント文字列が、ブラウザの他のフィンガープリント可能な指標からどれだけ独立しているかによります。例えば、iOSのSafariは、ハードウェア、ソフトウェア、ドライバが異なるデバイス間で比較的類似していることから、実際にはかなりフィンガープリントの少ないブラウザです。iOS版Safariのユーザーの多くは、比較的似ています。

しかし、iOS版のSafariは、ウェブ上で最も一般的なユーザーエージェントではありません。仮に、Windows用の最新バージョンのChromeが最も一般的なユーザーエージェントだとしましょう。ユーザーがiOS版Safariのユーザーエージェント文字列をWindows版Chromeに変更した場合、他には何も変更せずに、完全に独自のユーザーエージェントとして表示されます。キャンバスのフィンガープリントでSafari for iOSの結果がChrome for Windowsのユーザーエージェントになっているのは、そのユーザーだけです。

だからこそ、フィンガープリントを避けようとする人は、プライバシーを守るどころか、誤って傷つけてしまわないように細心の注意を払わなければならないのです。紛れ込ませるためには、すべての測定基準で自分とまったく同じ指紋を持つ他のユーザーの「プライバシープール」に参加しなければなりません。そのためには、個別に設定を変更するのではなく、「Tor Browser」や「Brave」、「Firefox」のように、ブラウザのすべてのインスタンスを比較的共通のものにする技術を利用するのが最も安全な方法です。

出典:https://ssd.eff.org/en/module/what-fingerprinting

下訳にhttps://www.deepl.com/ja/translatorを用いました。

Table of Contents