Cookieの奏でる音を聞く

ブラウザー拡張機能「Listening Back」でCookieの音を聞いてみると、Webトラッキングの実際の規模を実感できます。

「Cookieの音を聞く」。何のことかと思うかもしれませんが、あるブラウザー拡張機能を使えば、あのHTTP Cookieの奏でる音を聴くことができます。

拡張機能の作成者であるジャスミン・ガフォンド(Jasmine Guffond)氏は、第36回Chaos Communication Congress(36C3)この拡張機能を披露しました(英語)。

ガフォンド氏は、プロジェクトの目的を次のように説明しています。企業はCookieを使って私たちの行動を密かに見ている。Cookieの存在が音で聞こえるようにすることで、この小さなスパイがあちこちに存在することを人々に気付いてもらう。

Cookieとは何か。「スパイ行為」との関係は

Cookieは、Webサイトからブラウザーに送信される小さなデータです。ブラウザーはこれらのファイルを保存しておき、次にそのWebサイトへアクセスしたときに送り返します。Webサイトはこうやって、ログイン状態を維持したり、設定を保存したりしています。全体として見れば、CookieのおかげでWebサイトの閲覧が格段にスムーズになります。

実際にアクセスした先のWebサイトが保存するファイルのことを、「ファーストパーティCookie」といいます。一方「サードパーティCookie」は、自分がアクセスしているWebサイトとは別のWebサービス(Web解析サービス、SNS、広告ネットワークなど)にひも付いたもので、さまざまな用途で使われています。

人々のインターネット上での行動を追跡するのは、このサードパーティCookieです。たとえば「A」というサービスのCookieが「X」「Y」「Z 」という3つのWebサイトで使われている場合、AはあなたがいつX、Y、Zにアクセスしたのかが分かります。Google、Facebook、Amazonといったインターネット大手のCookieは、ほぼすべてのWebサイトで使われています。たとえば、インターネット上で最も幅広く利用されているCookieは、Googleアナリティクスのものです。

サードパーティCookieには良い面もあります。たとえば、信頼性の高い分析ができれば、より良いコンテンツの作成に役立ちます。一方、インターネット大手企業は、自社の所有するCookieを利用して、あなたがアクセスしたWebサイトやそのWebサイトでの行動などを諸々調べ上げます。そしてそのデータを基に、あなたの行く先々でターゲティング広告を表示します。

Cookieと「スパイ行為」は、以上のように関係しています。ガフォンド氏は、一般消費者に及ぼすCookieの影響を知るために「音」を採用しました。普段私たちが気に留めないことを無視できないものにするためです。

Cookieの音を聞いてみよう

ガフォンド氏は、利用者の多いGoogle ChromeMozilla Firefox向けに拡張機能を作成しました。拡張機能を有効にすると、Cookieがコンピューターに保存されたとき、コンピューターから削除されたとき、更新されたときに音が鳴ります。Cookieごとに違う音が出るようになっているので、音の鳴り方によって、たとえばGoogle アナリティクスのCookieとFacebookのCookieを区別することができます。

ガフォンド氏はこの拡張機能を「Listening Back」と名付け、「Cookieを音に変換する」ものであると述べています。このプロジェクトの目的は、Webサイトを見て回る中でいかに大量のCookieがやりとりされているか、理解するための一助となることです。

Listening Backプロジェクトの詳細

ブラウザー拡張機能は、音を大量に処理することを意図していません。そのため、Webサイトを読み込んだときに大量のCookieがほぼ同時にコンピューターへ入ってくると、つっかえるような不協和音が鳴り響きます。あまり心地よい音ではないので、この拡張機能をずっと有効にしておくのはちょっとつらいかもしれません。

Internet Engineering Task Force(IETF)では、ブラウザーはドメインごとに50個以上のCookieを処理できなければならないとされています。しかし、ガフォンド氏の拡張機能で処理できるのは43個までです。それ以上の音を再生しようとすると拡張機能がクラッシュしてしまうので、制限を設けなければなりませんでした。43個でも十分耳障りですが。

ガフォンド氏は、Facebook、YouTube、Google Analytics、Amazonといった著名サイトのほか、追跡や広告表示の目的で別のサイトへCookieを頻繁に送り込んでいるサービスに、特定の音を割り当てました。

それぞれのCookieが鳴らす音に慣れてくると、自分を一番追跡してくるのはどの企業か、それはどのWebサイトで、どのくらいの頻度なのか、分かるようになります。よく聞く音が別のサイトで鳴って、驚くことがあるかもしれません。たとえば、Facebookから聞こえてくる音が、まったく関係ないと思っていたサイトで鳴ることもあります。

ブラウザーの権限にご注意を

「Listening Back」を使用するに当たって留意したいのは、この拡張機能が「あなたがアクセスしたWebサイト上のあなたのデータをすべて読み取り、変更する」という強力な権限を要求する点です。この拡張機能を信頼できないと考えるなら、使用中は重要情報の入力を避け、ログインが必要なサイトにはアクセスしないようにしましょう。

しかし、なかなか面白くてためになるのは確かなので、(必要な用心をした上で)試してみること、少なくとも何時間か使ってみることをお勧めします。カスペルスキー セキュリティに搭載されているWebトラッキング防止機能など、何らかのトラッキング防止機能を利用している場合は、機能を有効にした状態と無効にした状態で同じWebサイトにアクセスしてみましょう。かなり音が違うはずです。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?