「便利そうだから拡張しとこっと」の裏側で…。
広告ブロッカー、いれてますか? もしあなたはいれていないとしても、世の中には入れている人が10億人ほどいるそうで。インターネットには広告が溢れていますから、これを「ブロック」してしまえばページがスッキリする、見たいものだけを見ることができると、広告ブロックツールをいれる人が多いのも理解できます。間違いなく、広告ブロックツールは、人気のウェブブラウザ拡張の1つです。
で、そんな人気の拡張子、悪知恵の働く人たちが放っておくと思います? 実は、うまーいこと利用されてしまう可能性があるんです。サイバーセキュリティ研究員のSergey Mostsevenko氏が、先月、広告ブロックツールについてのレポートを自身のブログで公開しました。
一般的な広告ブロックツールは、ユーザーが観覧したウェブサイトにちょっとした痕を残します。この痕はユーザーのブラウザを特定するには不十分なのですが、これを大量に集め、ユーザーデータが欲しい企業の手に渡ったらどうでしょう。あちこちに残った小さなデータ痕から、ユーザーのブラウザを特定できてしまうというのです。
ウェブ広告業界では、ブラウザからユーザーや端末を特定する情報をあれこれ取得することをフィンガープリンティングといいますが、フィンガープリント=指紋というだけあって、ユーザーは自分の指紋を簡単に消すことはできません。
Cookieは削除できます。キャッシュもクリアできます。プライベートモードを使えば、履歴を残さずウェブを見ることもできます。でも、ブラウザのフィンガープリントは、IPアドレス、ウィンドウサイズ、言語設定などなど、いろいろな情報を集めて残ります。訪れたWebページにフィンガープリンティングの隠しコードが仕込まれていたら、そこからデータがぐんぐん吸い上げられてしまいます。Mostsevenko氏いわく、どのサイトでどんなフィンガープリントを得たのかをトラッキングすることで、インターネット上でユーザーの動きをトラッキングできてしまうそう。
広告ブロックツールには様々なものがありますが、訪れたサイト(ページ)の特定エレメントをスキャンし、それを表示しないためにロードしないというのは共通しています。ローディングしない特定エレメントとは、もちろんこの場合広告です。何をブロックするかは、それぞれの広告ブロックツールのフィルタリングリストに基づいて決定しており、例えばドイツ語の広告だとか、モバイル系の広告だとか、ポップアップだとか、いろいろです。広告ブロッカーの中には、ユーザーがブロックしたりリストをアップロードして登録できるというものもあります。
広告ブロックツールを使う約10億人ものネットユーザーたちは、ブロックリスト含めみんなそれぞれ少しずつ違うツールを使っています。結果、広告ブロックツールは、フィンガープリンティングのやりがいがある場所になっているわけですが、かなり手間のかかる作業でもあります。でも、この面倒な作業を効率的にやる方法があるにはあるんです。ある意味クリエイティブとも言える方法は、非常に専門的かつ長文のMostsevenko氏のブログで解説されているのですが、それを超簡単に言っちゃうとつまりこうです。まず、ウェブ観覧者の中からターゲットにしたい広告ブロッカーのリストをまとめ、それぞれのブロッカーがどんなエレメントをブロックしているかを調査します。次に、ちょっとしたHTMLコード(ブロックされるさまざまなエレメントを1度にローディングさせるもの)をWebページに仕込み、ユーザーの見えないところでどのエレメントはブロックされ、どのエレメントは通過できたかをチェックします。実に面倒くさそうな作業ではありますが、本気の企業がそれなりの技術力を導入すれば1秒もかからずに調査できちゃうんですって。
実際に、Mostsevenko氏が隠しコードが仕込まれた広告ブロックツールのサンプルをテストしてみたところ(テスト環境:2015年のMacBook ProのSafari)、45個の広告ブロッカーリストを対象にしたエレメントブロックチェックに要した時間は3ミリ秒。400個ものリストでも、たったの20ミリ秒。一瞬です。ウェブ観覧中のページロードで、隠しコードがしこまれて調査されていても数ミリ秒ならまったく気が付きません。
各ユーザーが使うフィルタリングリストは常に変わります。異なる広告ブロックツールを使えば、そのたびに変わります。開発者によるアップデートでも変わります。それ以前に、ユーザーが使うブラウザを変えることもあるでしょうし、文字サイズなどブラウザの設定をいじることもあるでしょう。もちろんパソコン自体を買い換えることだってあります。そう考えると、完璧なフィンガープリントを作るのは不可能。しかし、どうせ不完全ならどうぞとってください、とは言えませんよね。データはデータであり、データには価値があります。現在、データ業界は2000億ドルの価値があります。便利だからと何気なくいれている広告ブロックツールも、2000億ドルの一旦を担っています。
広告ブロックツールを使用してもしなくても、自分のブラウザをフィンガープリントされないように対策をねることはできます。Electronic Frontier Foundationは、必要のない時はJavascriptを無効にしておくこと、SafariやFirefoxなど独自の対策がとられている大手ブラウザを使用すること、ブラウザ拡張は最低限に抑えること、優れたVPNに投資すること、Coockie許可をしないことなどを推奨しています。
Source: FingerprintJS