Chromeの変更がブラウザのプライバシーとセキュリティに及ぼす大きな意味

次の記事

イーロン・マスクの「小児性愛者だ」発言の名誉毀損訴訟が今秋開始

楽観的すぎると思われるのを覚悟で言えば、2019年はプライベートウェブブラウザの年になるかもしれない。

初期のころ、ブラウザはまだ混沌とした状態で、とりあえず中身をきれいに見せることに注力したものだった。セキュリティは二の次。Internet Explorerがその良い例だった。また、Google ChromeやMozilla Firefoxのような新しいブラウザが登場しても、ユーザーのプライバシーはめったに顧みられることはなかった。そうしたブラウザはスピードと信頼性に重点を置いていたからだ。

広告によって、長い間インターネットの利用は無料になっていた。しかし、侵略的な広告トラッキングが全盛をきわめるようになると、オンラインのプライバシーに対する懸念が、ようやく取り沙汰されるようになった。

Chromeは、全世界のブラウザ市場の3分の2近くのシェアを占めていると言われるが、最近改めてセキュリティとプライバシーを重視する姿勢を打ち出した。それ以前にも、先月Firefoxは、新しいトラッキング防止機能を発表していた。また、MicrosoftのChromiumベースのEdgeは、ユーザーデータに関する細かなコントロール機能の装備を約束している。さらにAppleのSafariも、広告業者がサイトを越えてユーザーをトラッキングすることを防止する機能を装備した。

毎年開かれるデベロッパーカンファレンスで、米国時間5月7日、Googleはプライバシー保護に関する2つの機能の追加を明らかにした。1つはクッキーのコントロールによって、広告業者がウェブサイトをまたいでユーザーの行動をトラッキングすることを制限する機能。もう1つは新しいフィンガープリント対策だ。

念のために説明すると、クッキーとは、ユーザーのコンピュータやデバイスにファイルとして保存される小さな情報で、それによってウェブサイトやアプリは、ユーザーが誰なのかを特定できる。ユーザーにとっては、ウェブサイトにログインしたままの状態にしておくことができるので便利だが、そのサイト上のユーザーの行動を追跡するのに利用されることもある。中には、異なるウェブサイト間で動作するものもあり、ユーザーのウェブサイト間の移動を追跡する。それにより、ユーザーがどこに行ってどこを訪問したか、といったプロファイルを構築することも可能になる。クッキーの管理は、これまでずっと、オンにするか、オフにするかを選ぶことしかできなかった。クッキーをオフにすると、広告業者が複数のサイトにまたがってユーザーを追跡することは難しくなるものの、そのウェブサイトに関するログイン情報は記憶されなくなる。これは不便だ。

近い将来Chromeは、ユーザーによる明示的な同意が得られなければ、ドメインが異なるサイト間でクッキーが機能することを禁止することになる。言い換えると、広告業者は、ユーザーから追跡の許可が得られない限り、ユーザーが訪問したさまざまなサイトで何をしているのか把握することができなくなるわけだ。

同じドメイン内でのみ機能するクッキーは影響を受けないので、これによってユーザーがいきなりログアウトさせられることはない。

この機能は、さらに別のメリットももたらす。クロスサイトのクッキーをブロックすると、ハッカーがクロスサイト脆弱性を突くことが難しくなるのだ。クロスサイトリクエストフォージェリ(CSRF)と呼ばれる攻撃では、悪意のあるウェブサイトが、ユーザーがログインしている正当なサイト上で、ユーザーに気付かれずにコマンドを実行することが可能となる場合もある。それによってユーザーのデータを盗んだり、アカウントを乗っ取ったりすることができる。

Googleは、いずれ、クロスサイトのクッキーはHTTPS接続でない限り送受信できなくするという。つまり、ハッカーがあるコンピュータに狙いを定めていたとしても、その通信を傍受したり、内容を変更したり、盗んだりすることができなくなる。

クッキーは、ユーザーをウェブ上で追跡する手段としては、ほんの一部に過ぎない。最近では、ブラウザに固有のフィンガープリントを使って、ユーザーがどのサイトを訪問したかを知ることも、かなり容易になっている。

フィンガープリントは、ウェブサイトや広告業者が、ユーザーが使っているブラウザに関する情報をできるだけ詳しく収集するための手法。使用しているプラグインや機能拡張から、動作してるデバイスについては、そのメーカー、モデル、画面の解像度などの情報も対象となる。そうした情報を集めて、ユーザーごとに異なるデバイスの「指紋」として採取するのだ。クッキーを使っていないので、ユーザーがシークレットモードやプライベートブラウズ機能を利用していても、ウェブサイトはブラウザのフィンガープリントを見ることができる。

Googleは、それをどうやって実現するのかについては詳しく触れてはいないものの、フィンガープリント対策について積極的に取り組む計画であると述べた。ただし、その機能がいつ利用できるようになるかについてのタイムラインは明らかにしなかった。

間違いなくGoogleも、Apple、Mozilla、そしてMicrosoftに次いで、プライバシーを重視する姿勢を打ち出してきている。Googleが仲間に加わったことで、Chromeがカバーするインターネットの3分の2も、すぐに利益を得ることになるはずだ。

画像クレジット:Getty Images

原文へ

(翻訳:Fumihiko Shibata)