Howdy! How can we help you?
(ProPuburica)ブロックが事実上不可能なオンライン追跡装置を紹介しよう(ProPuburica)
(訳者前書き)この記事は2014年の古いものです。
新種の追跡ツール、キャンバス・フィンガープリンティングは、WhiteHouse.govからYouPornまで、何千ものトップウェブサイトの訪問者を追跡するために使われている。
ジュリア・アングウィン著 2014年7月21日午前9時EDT
デヴィッド・スライト/プロパブリカ
更新:この記事が掲載された後、YouPorn社から連絡があり、”AddThisにユーザーのプライバシーを危険にさらす可能性のある追跡ソフトウェアが含まれていることを全く知らなかった “として、ウェブサイトからAddThisの技術を削除したと述べた。また、ドイツのデジタルマーケティング会社Ligatusの広報担当者は、キャンバスのフィンガープリンティングのテストは終了し、今後も使用する予定はないと述べた。
この記事はMashableとの共同記事である。
WhiteHouse.govからYouPorn.comまで、オンライントラッキングの新しい、非常に永続的なタイプが、何千ものトップウェブサイトの訪問者を影で監視している。
プリンストン大学とベルギーのルーヴェン大学(KU Leuven University)の研究者が近々発表する論文で初めて報告されたこのタイプのトラッキングは、canvas fingerprinting(キャンバス・フィンガープリント)と呼ばれ、訪問者のウェブブラウザに隠し画像を描画するよう指示することで機能する。各コンピューターが描く画像は微妙に異なるため、その画像を使って各ユーザーのデバイスを一意に識別する番号を割り当てることができる。
他の追跡ツールと同様、キャンバスのフィンガープリントは、訪問したウェブサイトに基づいてユーザーのプロファイルを構築するために使用される。
しかし、フィンガープリントをブロックするのは異常に難しい: 標準的なウェブブラウザのプライバシー設定や、AdBlock Plusのようなトラッキング防止ツールを使っても防ぐことはできない。
研究者たちは、主にAddThisと呼ばれる会社によって書かれたキャンバスフィンガープリントのコンピューターコードを、上位10万ウェブサイトの5パーセントで発見した。コードのほとんどは、AddThisのソーシャルメディア共有ツールを使用しているウェブサイトにあった。他のフィンガープリンターには、ドイツのデジタルマーケティング会社Ligatusやカナダの出会い系サイトPlentyoffishが含まれる。(研究者がコードを発見したすべてのウェブサイトのリストはこちら)。
AddThisの最高経営責任者であるリッチ・ハリス氏によると、同社は今年初め、キャンバス・フィンガープリンティングのテストを、コンピューターにインストールされたテキスト・ファイルを介してユーザーを追跡する従来の方法である「クッキー」に取って代わる可能性のある方法として開始したという。
「クッキーに代わるものを探している」とハリス氏はインタビューに答えた。
ハリス氏は、同社はテストを開始する前にキャンバス・フィンガープリンティングのプライバシーへの影響を検討したが、”これは私たちが持つ規則や規制、法律、ポリシーの範囲内である “と判断したと述べた。
さらに、同社はキャンバスの指紋から収集したデータを社内の研究開発にのみ使用していると付け加えた。ユーザーがコンピュータにAddThisのAddThis opt-outクッキーをインストールした場合、同社は広告のターゲティングやパーソナライゼーションのためにデータを使用することはない、と彼は述べた。
プリンストン大学の研究チームを率いたコンピューターサイエンスのArvind Narayanan教授は、自分のデータがどのように使われるかについて、ユーザーにAddThisの言葉をそのまま信じることを強いることは、”最善のプライバシー保証ではない “と反論した。
デバイス・フィンガープリントは、すべてのコンピューターが微妙に異なるという事実に依存している: それぞれに異なるフォント、異なるソフトウェア、異なる時計設定、その他の特徴的な機能が含まれている。コンピューターは、インターネットを介して他のコンピューターに接続すると、自動的にその属性のいくつかをブロードキャストする。
トラッキング会社は、特にウェブユーザーが広告ブロックソフトを使ったり、クッキーを削除したりするようになってきているため、オンライン広告の目的でデバイスを一意に識別するためにこれらの違いを利用しようと長い間努めてきた。
2012年5月、カリフォルニア大学サンディエゴ校の研究者たちは、「canvas」と呼ばれるウェブ・プログラミング機能が、典型的なデバイスのフィンガープリントとは異なる属性を取り込むことで、新しいタイプのフィンガープリントを可能にする可能性があることに気づいた。
キャンバス・フィンガープリンティングを阻止する方
- Torブラウザを使う(警告:遅いかもしれない)
- ブラウザでJavaScriptの読み込みをブロックする(警告:多くのウェブサイトが壊れる)
- AddThisのような既知のフィンガープリンターからのJavaScriptをブロックするブラウザ拡張機能NoScriptを使用する(警告:多くのリサーチと意思決定を必要とする)
- AddThisのような既知の広告トラッキング会社からのJavaScriptをブロックするブラウザ拡張機能を使用する。拡張機能には、EasyPrivacy filterをインストールしたDisconnectやAdBlockPlusブラウザ拡張機能などがある。(警告: 広告トラッキング会社として知られている会社のみをブロックする。他のウェブサイトはまだキャンバスのフィンガープリンティングを採用している可能性がある。)
- フィンガープリンティングをブロックするために設計された実験的なブラウザ拡張機能Chameleonを試す(警告:現時点では、技術に詳しいユーザーにのみお勧めする)
- AddThisのような既知のフィンガープリンターからオプトアウトクッキーをインストールする(警告:フィンガープリントはまだ収集される可能性が高い。)
6月、Torプロジェクトはプライバシーを保護するウェブブラウザに、ウェブサイトがキャンバス機能を使おうとして空白のキャンバス画像を送信したときにユーザーに通知する機能を追加した。しかし、他のウェブブラウザはキャンバスのフィンガープリントに関する通知を追加しなかった。
1 年後、ロシアのプログラマー、ヴァレンティン・ヴァシリエフがこの研究に気づき、インターネットに投稿した自由に利用できるフィンガープリント・コードにキャンバス機能を追加した。このコードはすぐに人気を博した。
しかしヴァシリエフは、当時彼が勤めていた会社はフィンガープリント技術の使用を断念したという。” 私たちは数百万のフィンガープリントを集めたが、精度が90%であったため、使用することを断念した。” “私たちの顧客の多くはモバイルを使用しており、フィンガープリントはモバイルではうまく機能しない。” と彼は語った。
ヴァシリエフは、フィンガープリントによるプライバシーの心配はしていないと付け加えた。「フィンガープリント自体は番号であり、人格とは全く関係ない」と彼は語った。
AddThisはヴァシリエフのコードを改良し、新しいテストを追加し、canvasを使って “Cwm fjordbank glyphs vext quiz “というパングラムを描いた。これにより、各文字の表示方法のわずかな変化を捉えることができる。
AddThisは、自社の技術が使われている1,300万のウェブサイトのごく一部にこの機能を提供したが、近々テストを終了することを検討していると述べた。ハリスは言う、「これは十分にユニークな識別ではない」。
広報担当者によると、AddThisは、「テストから最良の結果を得るために、実環境で研究開発プロジェクトを行っている」ため、コードが掲載されたウェブサイトには通知しなかったという。
さらに広報担当者は、同社がWhiteHouse.govを含む政府のウェブサイトから収集したデータは、キャンバスのフィンガープリントであれ、従来のクッキーベースのトラッキングであれ、広告のターゲティングやパーソナライゼーションのために使用することはないと付け加えた。
同社は、YouPorn.comのような他のサイトの訪問者から日常的に収集するデータについては、そのような保証を提供しなかった。YouPorn.comは、AddThisが同社のウェブサイトで canvas fingerprintingをテストしていることを知っていたかどうかについてのProPublicaからの問い合わせには回答しなかった。
Read our recent coverage about how online tracking is getting creepier, how Facebook has been tracking you, and what tools to use to protect yourself.
ジュリア・アングウィン
ジュリア・アングウィンはプロパブリカのシニア記者である。2000年から2013年までウォール・ストリート・ジャーナル紙の記者としてプライバシー調査チームを率い、2011年にピューリッツァー賞(解説報道部門)の最終選考に残り、2010年にはジェラルド・ローブ賞を受賞した。