デバイスフィンガープリンティングとは?

デバイスフィンガープリンティングとは、ユーザー固有のソフトウェア設定を分析し、デバイスやブラウザを特定し、最終的にオンラインでユーザーを追跡する技術だ。これを防ぐ有効な方法は余り見つかっていない。

吉田拓史

現在、インターネットユーザーのプライバシーは、ウェブサイトのcookieを有効にするための同意を得ることに重点を置いた法律で保護されている。サードパーティーcookieの排除が議論され続ける中、デバイスフィンガープリンティングは、マーケターがオンラインでユーザーを標的にするのに役立つcookieの代替手段のひとつになろうとしている。

「データブローカー」と呼ばれるオンラインデータ収集会社は、この手法によってインターネット上での消費者の行動を追跡し、行動プロファイルを構築しているのだ。

デバイスフィンガープリンティングとは、ユーザー固有のソフトウェア設定を分析し、デバイスやブラウザを特定し、最終的にオンラインでユーザーを追跡する技術だ。

デバイスの指紋の検出には、主にオペレーティングシステムとブラウザの2つからの情報の収集が必要となる。言語設定、タイムスタンプ、インターネットプロトコル(IP)、画面解像度、インストールされているプラグインなどの情報はユーザーのデバイスのプロファイルを分析するために大いに役立つ。

これらすべての情報をフィンガープリントにまとめることで、広告主は、あるウェブサイトから次のウェブサイトに移動する際に、あなたを認識することができるようになる。フィンガープリントに関する複数研究により、ブラウザのフィンガープリントの約80~90パーセントが一意であることが判明している。フィンガープリントは、ウェブサイトにコードを挿入する広告テクノロジー企業によって行われることが多い。

フィンガープリント・コードは、FingerprintJS ライブラリなどの様々なスクリプトの形で提供され、多くの広告テクノロジー企業によって展開され、ユーザーのオンライン活動に関するデータを収集している。フィンガープリント・スクリプトを導入しているウェブサイトは、そのことに気づいていないこともある。

いったん確立された指紋は、他の個人情報と組み合わされる可能性がある。例えば、既存のプロファイルや不透明なデータブローカーが保有する情報とリンクさせることができるのだ。

フィンガープリントは、ウェブブラウザの発展とともに進化し、ウェブの歴史と絡み合っている。ブラウザが成熟するにつれ、APIやHTTPヘッダを通じて、人々のデバイス設定に関するサーバとの通信が増加したと、フィンガープリントの発展について研究してきた。

デバイスの指紋を構築するためにウェブブラウザを通して情報を収集するプロセスをブラウザフィンガープリントと呼ぶ。ブラウザ内で実行される簡単なスクリプトを介して、サーバーはアプリケーションプログラミングインターフェース(API)とHTTPヘッダーと呼ばれる公開インターフェースから様々な情報を収集することができる。APIには、マイクやカメラのようにアクセス許可を必要とするものもあるが、ほとんどのAPIは、JavaScriptスクリプトから自由にアクセスでき、情報収集が簡単になる。

電子フロンティア財団(EFF)が最初にフィンガープリントを確認したのは2010年のことだ。それ以来、フィンガープリントは、広告主がクッキーブロックやGoogleやAppleによる広告追跡の制限を回避しようとするため、ますます一般的になっている。

世界の4分の1のウェブサイトが実行

この行為はウェブ上で確実に広まっている。2020年の調査では、世界のトップ10,000のウェブサイトのうち4分の1がフィンガープリントのスクリプトを実行していることが判明している。

新しいフィンガープリントの方法も生み出されている。今年の初めには、フランス、イスラエル、オーストラリアの大学からなる研究チームがGPUの指紋を作成し、人を特定できることを証明した。1,605の異なるCPU構成を持つ2,550台のデバイスを対象とした大規模実験の結果、「DrawnApart」と名付けられたこの技術は、現在の最先端手法と比較してトラッキング時間の中央値を67%向上させることができるという。

また、一つのデバイスの中の異なるブラウザーで人を追跡することも可能だと判明した。ジョン・ホプキンス大学助教授のYinzhi Caoらのチームは、グラフィックスカード、CPU、インストールされているスクリプトなど、OSやハードウェアレベルの新しい特徴を利用する方法を提案した。これらの特徴は、OSやハードウェアの機能に依存するタスクをブラウザに実行させることで抽出される。同じデータセットに対するシングルブラウザフィンガープリントの最先端技術の90.84%に対し、我々のアプローチは99.24%のユーザーを識別することに成功したという。

しかし、ターゲティング広告や人々のオンライン上の動きの追跡のために指紋を広く使用することは、法的な問題を提起している。欧州全域の規制当局は、ウェブサイト上に表示され、追跡を許可するかどうかを尋ねるcookieのバナーの取り締まりを要求している。このバナーはどこにでもあるため(そしてイライラさせるため)、人々はたいてい「承諾」をクリックし、自分が追跡されることにどのように同意しているのかを理解していない。

どうすれば止められるのか?

批評家は様々なブラウザのプラグインがフィンガープリントの削減や停止に役立つと主張しているが、品質にはばらつきがあるようだ。Snapの研究者Amit Dattaと米国の2人の研究者による2019年の研究では、多くのフィンガープリンティング対策ツールはそれほど有用ではないことが判明している。フィンガープリンティングを止めるためにできる最大のことは、トラッキングを制限し、プライバシーを高めるブラウザを選ぶことだ。

彼らの評価手法では、匿名化ネットワークTorを経由してインターネットへアクセスするブラウザの「Tor Browser Bundle」が最も効果的であることが判明した

参考文献

  1. Pugliese, Gaston, Riess, Christian, Gassmann, Freya and Benenson, Zinaida. "Long-Term Observation on Browser Fingerprinting: Users’ Trackability and Perspective" Proceedings on Privacy Enhancing Technologies, vol.2020, no.2, 2020, pp.558-577. https://doi.org/10.2478/popets-2020-0041
  2. Pierre Laperdrix, Walter Rudametkin, Benoit Baudry. Beauty and the Beast: Diverting modern web browsers to build unique browser fingerprints. 37th IEEE Symposium on Security and Privacy (S&P 2016), May 2016, San Jose, United States. ffhal-01285470v2
  3. Yinzhi Cao, Song Li, Erik Wijmans. (Cross-)Browser Fingerprinting via OS and Hardware Level Features. NDSS Symposium 2017, 27 Feb 2017.
  4. Pierre Laperdrix et al. Browser Fingerprinting: A survey. arXiv:1905.01051 cs.CR. https://doi.org/10.48550/arXiv.1905.01051
  5. Amit Datta, Jianan Lu, and Michael Carl Tschantz. 2019. Evaluating Anti-Fingerprinting Privacy Enhancing Technologies. In The World Wide Web Conference (WWW '19). Association for Computing Machinery, New York, NY, USA, 351–362. DOI:https://doi.org/10.1145/3308558.3313703