電子フロンティア財団が過去数カ月にわたってまとめた調査によると、クッキーがない場合でも、Internet ExplorerやFirefoxなどの一般的なブラウザは、約94パーセントの確率で、ウェブサイトに訪問者の個人的情報を取得するのに十分な情報を提供している。
この研究は、セキュリティの専門家たちが長年認識してきた事実を定量的に評価するものだと、EFFのシニアスタッフテクノロジストでこの研究を行ったピーター・エッカーズリー氏は述べた。エッカーズリー氏は、ウェブサイトがブラウザの種類、オペレーティングシステム、プラグイン、さらにはインストールされているフォントといった設定情報を集計し、ほとんどの訪問者の固有のプロフィールを作成できることを発見した。
これは、ほとんどのインターネットユーザーの匿名性が、彼らが思っているよりもはるかに低いことを意味するとエッカーズリー氏は述べた。「たとえクッキーをオフにし、プロキシを使ってIPアドレスを隠していたとしても、追跡される可能性は依然としてある」と彼は述べた。
このデータは実際に Web ユーザーを特定するものではありませんが、ユーザーが他の Web サイトにアクセスしたときにそのユーザーを識別するために使用できる固有のブラウザー「指紋」を作成します。
JavaScriptを使うことで、ウェブサイトはPCの情報を精査し、多くのことを学ぶことができます。単一のデータだけでは訪問者を特定するには不十分ですが、ブラウザのバージョン、言語、オペレーティングシステム、タイムゾーンの詳細など、すべてをつなぎ合わせることで、より明確な情報が得られます。例えば、どのようなプラグインとフォントの組み合わせがインストールされているかなど、いくつかの情報は決定的な手がかりとなる可能性があります。
一部のブラウザメーカーが提供するプライベートモードを使用しても、こうした分析を阻止することはできません。「これらのブラウザは、自宅に侵入したり、コンピュータにアクセスしたりする可能性のある他人からユーザーをある程度保護してくれますが、ウェブユーザーのプロファイリングを行っている企業からユーザーを保護するまでには至っていません」とエッカーズリー氏は言います。
実際、既にいくつかの企業が、eコマースサイトが詐欺師を特定できるよう、Cookieを使用しないこの種のウェブトラッキングサービスの提供を開始しています。41st Parameter、ThreatMetrix、Iovationといった企業は、銀行、eコマース、ソーシャルウェブサイトなどで広く利用されています。
そして、その製品は効果を発揮しています。昨年8月、セルビアの犯罪者が盗難クレジットカードのテストを開始し、毎日数百件もの1.99ドルの取引をオンライン映画サイトiReel.comに投稿した際、iReelはThreatMetrixを利用して詐欺師を特定しました。
EFFが説明したものと同様の手法を用いて、ThreatMetrixはサイト訪問者のデジタル指紋を生成した。これにより、詐欺師がプロキシIPアドレスを使用していたとしても、1人のユーザーが数百種類のクレジットカードを使用しようとしていたことをiReelは把握できたと、iReelの最高執行責任者であるアダム・アルトマン氏は述べた。「不要な取引を多く削減することができました」と彼は述べた。
ガートナーのアナリスト、アビバ・リタン氏は、ブラウザメーカーがユーザーにブラウザ上のウェブトラッキングCookieファイルの管理権限をより細かく与えるようになるにつれ、これらの製品の利用がさらに拡大する可能性があると述べた。多くのeコマースサイトはすでに訪問者の追跡にいわゆるFlash Cookieを使用しているが、Adobeはユーザーがこれらのファイルに対するより詳細な制御権を与え始めているため、ブラウザフィンガープリンティングはウェブ上で次に広く利用される訪問者追跡技術になる可能性があるとリタン氏は述べた。
匿名でウェブサーフィンをしていると思っている人にとって、これは悪いニュースだとエッカーズリー氏は述べた。「もし誰かが私たちがどのページを見ているかを知ることができれば、私たちが何を読んでいて、何を考えているかが分かってしまうのです」と彼は言った。
EFFは、訪問者の個人情報を検査するウェブサイトを開設しました。エッカーズリー氏によると、ほとんどの人は、自分がオンラインでどれほど追跡可能であるかを知ると驚きます。
しかし、効果的な対策もいくつかあります。IDG News ServiceのWindows XP搭載コンピュータでFirefoxを実行している場合、NoScriptセーフブラウジング拡張機能を有効にすると、識別が不可能になります。Torインターネット匿名化ソフトウェアを追加することも有効だとエッカーズリー氏は述べています。
iPhoneやAndroidプラットフォームのモバイルブラウザは、多くの場合、識別が難しいです。これは、デスクトップPCで一般的に見られるような多様なブラウザプラグインやフォントアドオンが備わっていないためです。
では、ブラウザメーカーは自社製品のプライバシーをより強化できるだろうか?エッカーズリー氏はそう確信している。「こうした情報の一部が役立つ状況もあるだろうが、必ずしも全てが必要なわけではない」と彼は言う。
