共用型ネットワーク、追跡、フィンガープリント

「ネット調べてたものが、別のサイトですぐ広告になって出てくる!」という方、必見!その仕組みやフィンガープリントとは?

こんにちは!Takaakiです。

「ネット調べてたものが、別のサイトですぐ広告になって出てくる!」
というご経験、ありませんか?

第一回 Webブラウザにおけるセキュリティの基礎:入門編に続き、Vivaldiではセキュリティー&プライバシー保護についてご案内していきます。

みなさんのセキュリティー&プライバシー保護対策方法についてのコメント、お待ちしております!

原文 Shared networks, tracking and fingerprinting

日本語訳(ありがとうございます!)
Snowofmarchさん


プライバシーとセキュリティを扱うこの一連の記事で、私たちは追跡、そしてコンピューターやネットワークへの共有アクセスがあなたのプライバシーに与える影響について眺めていきます。

多くの人たちが、他の人たちとコンピューターを共有しています。彼らはマルウェアやスパイウェアをインストールするなどのとくに悪意あることをしないようお互いを信頼するわけですが、それでも閲覧内容を他のユーザーに見て欲しいとは思いません。バレンタインの贈り物を買うとか、他者から批難されるかもしれないWebサイトを利用しているとか、私的な健康の情報を検索するとか、または他人のコンピューターでSNSにログインするとか、そういった自分だけのものを。

共用型ネットワーク

多くの人たちが、自宅で、職場で、あるいは共用WiFiサービスで、ネットワークも共有しています。安全でないWebサイトを利用するとき、すべての情報は、暗号化で保護されることなくWebサイトとブラウザーの間でやり取りされます。ネットワークの他のユーザーは、共有されてればどんな個人情報も見ることができ、潜在的にはWebサイトが異なる挙動をするように、そして情報を好きな場所へ送信するように変更することもできます。

安全なWebサイトを利用してさえ、ネットワークの他のユーザーは、Webサイトを訪れたことは分かります(Webサイトに接続したIPアドレスにより)…何が送られたかまでは分からないにしても。場合によっては、これはユーザーがWebサイトの利用について誤解を引き起こすかもしれません。たとえネットワーク自体が共有されていなくても、データはインターネットを経由するので、インターネット接続を見ることができるあらゆる仲介者は、同じ情報を得る可能性があります。

UnsplashのTim Gouwの写真。

追跡技術

あなたが他のWebサイトへのリンクを訪れたか否かを判断するため、Webサイトはブラウザーが「訪問済み」リンクに適用するスタイルを確認するかも知れません。

Webサイトのログイン済ユーザーに使える自動リダイレクトを含むWebサイトを読み込ませようと、様々な手を打ってくる可能性もあります。それで履歴の増加分を数えて、Webサイトにログインしているかを見てくるのです。

Webサイトをブラウズするとき、Webサイトはユーザーを特定するため、トラッキング(追跡)Cookieを設定できる第三者からのコンテンツを埋め込んだり、あるいはその他の方法を使ったりする可能性があります。

同じ第三者のコンテンツを埋め込んだサイトを訪れるたび、その第三者は同じユーザーが新しいサイトを訪れたことを知ることができます。時間をかけて、第三者はそのユーザーのプロフィールを構築することができます…彼らが誰なのか知る必要もなく。どんなWebサイトを使っているか、どんなものに興味があるか、何時に起きるのか。

当然、Webサイトがあなたを認識する方法は他にいくらでもあります。もし共有ネットワーク、WiFiやNAT(たくさんのコンピューターで単一のIPアドレスが使用される。会社や大学、いくつかの国で一般的です。)でなく、IPアドレスで個人が特定できるなら、それを使うかも知れません。彼らはキャッシュファイルのETag(ファイルの新しいバージョンが必要かどうか確認するため、ブラウザーが送信するもの)を使うかも知れません。

フィンガープリント

ユーザーを追跡するため、Webサイトはまた、「フィンガープリント(指紋)」と呼ばれる技術(あなた自身の指紋とは関係ありません)を使うことがあります。

Webサイトはあなたのブラウザーの、他の人のブラウザーと異なる部分を徹底的に探します。ユーザーエージェント(UA)はあなたのオペレーティングシステムとブラウザーのバージョンを表しています。Vivaldiは十分に一般的なので、最新の状態であれば、他の多くのユーザーと同じUA文字列を持ちます。

バッテリーAPIは、あなたが使っているノートPCのバッテリー残量をWebサイトが見ることができるようにするものです。ただ、これは大ざっぱな値であるため、他の多くのユーザーもあなたと同じ値になります。そしてもちろん、あなたのブラウザーが更新をインストールするたびにこれらの数字が変わるので、Webサイトは再度情報取得を始める必要があります。これはプライバシーにとっては良いことです。

ブラウザーウィンドウのサイズや画面解像度、インストールされたプラグイン、他のいくつかのものは、あなたのコンピューターに固有というわけではありませんが、Webサイトはこれら全てを組み合わせることで、組み合わせに該当する人を少なくできます。究極的には、彼らが検出し得るすべての値を使って、その人物、つまりあなたを特定できる可能性があります。彼らはマウスの移動やページのスクロール、キーボードのタイプさえ監視して、あなたと他のユーザーとの癖の違いを見つけられるかも知れません。

Webサイトがチェックできるいくつかのもの(たとえばバッテリーAPI)を、無効にしたいと思うかも知れません。しかし、Webサイトの動きに影響を与える複数の設定(Cookieの有効無効、追跡禁止ヘッダーの送信有無、ローカルストレージの有効無効、バッテリーAPIの有無、広告ブロック)を変更し始めるや否や、あなたのブラウザーは多くの人の中で、目立つものになります。

フィンガープリントを避ける、あるいは難しくする手段は、設定を変更しないことです。できるだけ普通、平凡なままにして、ブラウザーが他の皆と同じに見えるようにしておくのです。これは無論、プライバシーの目的と矛盾する考えであり、つまりしばしばこれらがトレードオフである(=設定の変更はプライバシーを向上させるが、Webサイトにフィンガープリントを作りやすくする)ことを意味します。

Vivaldi、そして他のブラウザーは、バッテリーAPIに制限を設けてUA文字列に小さな情報しか入れないことで、Webサイトがフィンガープリントを作りにくくしています。それでも、フィンガープリントは常にある程度までは可能なのです。

明るい話をすると、Webサイトは一般的にフィンガープリントを使いません。なぜなら、トラッキングCookieやローカルストレージなど、ユーザーを追跡するより簡単な方法があるからです。可能であれば、Webサイトはより簡単な技術を用い、ユーザーが設定を変更したくないことを当てにします。

このような場合、あなたはCookieを削除するだけでプライバシーを回復できます。加えて、いくつかの国では、Webサイトはプライバシー要件に準拠する必要があります(Webサイトが運営されている国によりけりですが)。

今後数週間に渡って、私たちはここで説明した事案にどのように対応するかを投稿する予定です。このシリーズで紹介する、プライバシーとセキュリティに関するさらなるヒントにご期待ください。

メイン写真はUnsplashのMarvin Meyerのものです。

ターキン・ジョーンズ著
2005年からウェブブラウザーのセキュリティには携わり、2018年からVivaldiに勤務する。1991年以来専門となっている洞窟探検や様々なエキゾチックなペットの世話のため、大いなる野外を探検している最中にお目に掛かることもあるかも。

セキュリティー&プライバシー保護シリーズ

note | Twitter | Facebook | Instagram