テクニカル分析 by Seth Schoens 2009年9月14日
本記事は、今日のウェブにおけるユーザー追跡についての3部構成のうち、パート1です。パート2はこちらからご覧いただけます。

Webサイトの閲覧状況を追跡するためにCookieが使用されていることについて、プライバシー保護団体が初めて懸念を表明してから何年も経ちますが、Cookieは依然としてWebユーザーのプライバシー問題になっています。今日、Cookieは、Googleのような広告会社が、サイトをまたいで時間をかけてユーザーを追跡し、プロファイリングするための主要なメカニズムの1つです。EFFのメンバーの多くは、ブラウザのクッキー管理機能を使って、どのクッキーを受け入れるか、あるいはどのくらいの期間保持するかを制限することで、この脅威に対応しています。

しかし、今日のCoolie事情はかなり厄介で、ユーザーを追跡しようとするサイトには、ユーザーが対応しにくい新しい技術的オプションがあることがわかりました。従来の「Cookie」は、1994年にNetscape社のLou MontulliとJohn Giannandreaが発明したHTTP Cookieです。しかし、今日では多くのブラウザがCookieto類似のトラッキング動作を持つ様々なものを実装しています。これらのメカニズムは、はるかに馴染みが薄く、気付きにくく、しばしば制御が困難です。

今日、私たちが直面している広範なCookie技術の概要は、iSEC PartnersのKatherine McKinleyが昨年発表した記事「Clean Up After Cookies」にあります。McKinleyは、伝統的なHTTP Cookieを超えた5つのCookieのようなトラッキング方法について説明し、ブラウザがこれらのトラッキング方法に対してユーザーに意味のあるコントロールをさせないことが多いことを説明しています。

これらのトラッキング手法の中で最も顕著なものは、いわゆる「Flash Cookie」であり、Webページに埋め込まれたFlashアプリケーションに代わってAdobe Flashプラグインが保持する一種のCookieです[1]。Webブラウザは、Flashアプリケーションによって保存されたCookieをユーザが直接閲覧または削除することはできず、このようなCookieが設定されてもユーザには通知されず、これらのCookieは期限切れになることもありません。Flash Cookieは、従来のHTTPCookieと同じようにユーザを追跡することができ、ユーザがフラッシュ・アプリケーションを含むページにアクセスするたびに保存または取得することができます。オープンソースのFlash実装であるGnashの開発者であるRob Savoyeは、いくつかの問題点を指摘しています。

先月、Ashkan Soltaniが率いるカリフォルニア大学バークレー校の研究者グループは、この技術と、今日のインターネットユーザーの追跡に使用されている方法についての研究「Flash Cookies and Privacy」を発表しました。この研究では、Flash Cookieは人気のあるサイトで広く使用されており、ほとんどのユーザーはFlash Cookieの存在やその削除方法を知らないことがわかりました。また、少なくとも1つの主要なサイトでは、広告業界の独自の追跡ルールに違反した方法でFlash Cookieが使用されていることがわかりました。

さらに、バークレー校の研究者たちは、Flash Cookieが、ユーザーのHTTP Cookieポリシーを意図的に回避するために使用されることが多いことを発見しました。つまり、サイトが意図的に同じ情報をHTTPCookieとFlashCookieの両方に重複して保存することがあるのです。ユーザーがHTTP Cookieを削除すると、サイトはFlash Cookieとして保存されていたコピーからその情報を「リスポーン」することができます。サイト運営者は、多くのユーザーがクッキーによる追跡を望んでいないことを知っていますが、そのようなユーザーのプライバシー設定を回避する方法を見つけたことは明らかです。

このようなプライバシーを侵害するマーケティング手法は、もっと精査されるべきです。McKinleyが説明した他の種類のCookieも、Flash Cookieのようにユーザーを追跡するために使用されているかどうかを明らかにするために、さらなる調査が必要です。Flash Cookieが、次世代のユーザー追跡の氷山の一角に過ぎないことが判明する可能性は十分にあります。

一方、ブラウザの開発者は、ユーザーがこれらの技術を使ってどのように追跡されているかを理解し、コントロールできるようにもっと努力すべきです。残念ながら、Adobe社は、Flash Cookieに関しては、ブラウザの制御外に保存されるため、その実現を極めて困難にしており、また、公式のFlashプラグインはオープンソースではないため、ユーザが自分でこの問題を簡単に解決することはできません。BetterPrivacy Firefoxプラグインは、ハードドライブ上のFlash Cookieを見つけ出し、定期的に削除することでこの問題に対処しようとしていますが、Adobeは、そのCookieシステムがブラウザのプライバシー設定に従うようにすることで助けになるでしょう[2]。

明らかに、これらの次世代Cookieを、ユーザーが通常のHTTP Cookieで経験するのと同じレベルの可視性と制御にまで持っていくには、やるべきことがたくさんあります。

1.AdobeはFlash CookieをLocal Shared Objectsと呼んでいます。McKinleyは、Flash Cookie以外にも、HTML 5 DOMストレージ、Microsoft Silverlight Cookie、Microsoft Internet Explorer User Data Persistence、Google Gearsデータなどの種類のCookie類似のオブジェクトを挙げています。
2.Adobeは現在、Flash Cookieを管理するためのインターフェイスを提供していますが、ほとんどのユーザーはそれに気づいておらず、ブラウザのCookieポリシーとは全く統合されておらず、プライバシーへの影響よりもFlash Cookieが占有するディスクスペースに重点を置いているようです。また、通常のブラウザやブラウザ・プラグインができるような、クッキーのコントロールもできません。