※日経ソフトウエア 2019年3月号の記事を再構成

インターネット上のトラッキング技術「ブラウザーフィンガープリント」を3回にわたって解説する。第2回はブラウザーフィンガープリントへのニーズが高まっている背景として、Cookieとネット広告とGDPR(EU一般データ保護規則)の関係を解説する。

広告配信サーバーはユーザーの挙動から、その人が関心を持ちそうな広告を掲載しようと、いつでも見つめている (c)Shutterstock
広告配信サーバーはユーザーの挙動から、その人が関心を持ちそうな広告を掲載しようと、いつでも見つめている (c)Shutterstock

※「Cookieとは? 改めて知りたいネットのトラッキング技術」の続きです。

 Webブラウジングをすると広告を見ないことはないというくらい、ネット上には多くの広告があふれている。

 これらの広告は多くの場合はCookieを利用していて、それらはthird-party Cookie(サードパーティークッキー)と呼ばれている(図1)。一方、アクセスした先のサーバーから発行されるものを、first-party Cookieと呼ぶ。

図1●広告で頻繁に利用されるサードパーティークッキー
図1●広告で頻繁に利用されるサードパーティークッキー

 Cookieは、広告の色々な用途で利用されている。例えば、ユーザーがあるWebサイトで「冷蔵庫」を見ていて、別のWebページに移動したときに「冷蔵庫」の広告が表示されるといったことがある。これを「リターゲティング広告」というが、これはユーザーの挙動がCookieでトラッキングされていて、広告を配信しているサーバーがそのCookieを利用することでユーザーを特定しているからだ。広告配信サーバーはユーザーの挙動から、その人が関心を持ちそうな広告を掲載しようと、いつでも見つめているのだ。

 Cookieの仕組みを中心に、この「冷蔵庫」の例をもう少し詳しく見てみよう。

 Webページを見ていて広告バナーが表示されるときや広告をクリックしたとき、ユーザーのWebブラウザーは、知らないうちに広告配信サーバーから発行されたCookieを受け取っている。例えば、Webページ上に広告が表示されるとき、Webブラウザーは広告配信サーバーにJavaScriptなどを介してアクセスしていて、広告として表示する画像やテキスト、クリックした時の遷移先URLを取得している。その時同時に、広告配信サーバーはCookieを発行している。ユーザーは自分から広告配信サーバーにアクセスしているわけでもないのに、Webページ上の広告枠を通じて、Cookieを受け取ってしまっているのだ。

 図2で、筆者のChrome上にあるCookieを示した。一旦Chrome上のをすべてのCookieを消去し、わずか数箇所ほどのWebサイトを訪れた後に残されていたCookieだ。Cookieが発行されたWebサイト名を見てみたところ、筆者がアクセスしたWebサイト以外のところばかりだった。Chromeで開いていないにもかかわらず、大量のCookieが発行されてPC上に保存されていたのだ。

図2●Chrome上で確認されたサードパーティークッキー
図2●Chrome上で確認されたサードパーティークッキー

 ちなみに、たった一つのWebサイトを閲覧しただけで、24個もの大量のサードパーティークッキーが発行されているケースもあった。実際、多くのニュース系サイトは、アクセスするとすさまじい量のCookieが発行される。これらは、広告配信事業者やユーザーの挙動をトラッキングするサービスで利用されているものがほとんどだ。

 訪れたことがないWebサイトからCookieが大量に発行され、WebブラウザーやPC上での自分の挙動が勝手に分析されるというのは、あまり気持ちのよいものではないだろう。

図3●Chromeで確認。Cookieに情報を入れる場合は生の平文ではなく暗号化すべき
図3●Chromeで確認。Cookieに情報を入れる場合は生の平文ではなく暗号化すべき

 そこで、Webブラウザーや端末の設定でできる、サードパーティークッキーを抑制できる機能を紹介しよう。

 図3は、iPhoneのSafariの設定。「サイト越えトラッキングを防ぐ」のチェックをオンにするだけだ。これはITP(Intelligent Tracking Prevention)と呼ばれる機能で、iOS11から追加された。前述のような“ユーザーを追いかけてくる広告”で利用しているCookieに制限をかけるものだ。

 具体的には、Cookieの発行を行ってから24時間だけ当該サードパーティークッキーにアクセスすることができて、それ以降はアクセスできなくなるというもの。つまり、サードパーティークッキーを利用している広告配信業者などは、24時間以降はユーザーの追跡ができなくなり、リターゲティング広告やユーザーの挙動解析ができなくなるのだ。