デバイスフィンガープリント(DF)による追跡技術

アフェリエイト広告への影響

アフェリエイト広告への影響私は、オンラインショッピング中に見た商品が、突然あらゆるウェブサイト上に表示される体験をした事があります。それは様々なウェブサイト上で広告を見せるために、第三者がCookieやほかのウェブサイトデータを追跡している為に起こるようです。GAFAの一角 AppleはGoogleと対照的にプライバシー保護を優先しており、インテリジェント・トラッキング防止機能でプライバシーを守られるように、バージョンアップを繰り返しています。

例えば、これらの影響を受けて、様々な波紋を呼んでいます。

ITP2.3でさらに規制が強化! アフィリエイト広告への影響について解説https://www.future-shop.jp/magazine/ec-affiliate-itp2-3

【速報】【検証中】ITP2.3発表!もう我々はITPと戦わず共存するしかないのかhttps://blogs.itmedia.co.jp/agile/2019/09/itp23itp.html

今後はGDPRが、法的に個人情報の取締を強化しつつあり、APPLE以外のメーカーも同様の対応を、迫られるものと思われます。

GDPRの更新:Cookieに対する判断と罰則、提案されたEプライバシー規制、Microsoftに対する調査、Googleに対する集団訴訟などhttps://www.lexology.com/library/detail.aspx…

欧州連合司法裁判所(「CJEU」)は、欧州一般データ保護規則(「GDPR」)およePrivacy指令によると、Cookieがユーザーの個人情報を収集または処理しない場合でも、明示的な同意が必要であることをさらに明確にしました。また、デバイスへのCookieの保存期間と、情報がサードパーティに転送されるかどうかをユーザーに通知する必要があると判断しました。

Cookieを必要としない、デバイスフィンガープリント(DF)による追跡技術

DFについて、まだ日本では規制されておらず野放しの状態となっています。こうした技術活用すれば、個人が訪れたサイトの趣味や嗜好が明らかにできる上に、ソーシャル・エンジニアリングの手口としても利用できます。

日本経済新聞
閲覧情報ひそかに調査 国内100社調査 消費者向けサイト2割
https://www.nikkei.com/article/DGKKZO67505180Z11C20A2MM8000

識別方法

デバイスにインストールされているアプリケーションは、デバイスのソフトウェアとハ​​ードウェアに関する大量の情報を収集できます。これには、マシンのハードウェアに割り当てられたMACアドレスやシリアル番号などの一意の識別子が含まれることがよくあります。例えばデジタル著作権管理(DRM)を採用しているプログラムは、デバイスを一意に識別するためにこの情報を使用します。

識別情報を収集して共有するように設計されていない場合でも、ローカルアプリケーションは、リモートアクセスにより識別情報を不本意に公開する可能性があります。分かりやすい例でいえばWebブラウザなどがあります。

データの送信に使用されるプロトコルを活用することで、アプリケーション層の下から情報を収集することもできます。具体的なOSIモデルのプロトコルは以下の通りです。

  • OSIレイヤー7:SMB、FTP、HTTP、Telnet、TLS / SSL、DHCP 
  • OSIレイヤー5:SNMP、NetBIOS
  • OSIレイヤー4:TCP
  • OSIレイヤー3:IPv4、IPv6、ICMP、IEEE 802.11 
  • OSIレイヤー2:CDP 

パッシブフィンガープリント技術では、フィンガープリントがターゲットデバイスから発信されたトラフィックを監視します。またアクティブフィンガープリント技術では、フィンガープリントがターゲットデバイスへの接続を開始する必要があります。後者によって開始された接続を介してターゲットデバイスからトラフィックを監視する手法は、セミパッシブとして扱われることがあります。

なお、GDPRや米カリフォルニア州法では、DFでの個人分析にユーザーの同意取得などを義務付けられているので注意が必要です。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ