Cookieを管理する方法:実環境での実験結果

オンラインプライバシーに、Cookieがどのように影響するか。解説します。

このごろは、Webサイトにアクセスすると、画面の下に「すべてのCookieを受け入れる」ことを求めるバナーが表示されるようになりました。このよくわからないテキストボックスをさっさと非表示にしようと、たいていの人は「受け入れる」のオプションをクリックします。このミステリアスなCookieというものを拒否できることも、Cookieの設定方法も、多くの人は知りません。そこで私たちはちょっとした実験を行い、Cookieを管理する方法と、管理しないとどうなるかを解説することにしました。

Cookieとは何か、Cookieで何をするのか

Webサイトはどれも、アクセスしてきた人とその人のアクティビティに関する情報を収集し、その情報を小さなファイルの形で訪問者のデバイスに保存します。このファイルをCookieと呼びます。

Cookieが行うのは、基本的に以下の3つです。

  • アクセスしてきた人に対し、Webサイトの利便性を高める
  • Webサイトの動作の信頼性を高める
  • アクセスした人のアクティビティを追跡する

まず、利便性から見てみましょう。Cookieは、アクセスしてきた人をWebサイトに対して特定し、何か設定されたものがあればそれを保存します。例えば、ホテル予約サイトに一度選択した支払い通貨を記憶させる、SNSのログインページで[ログイン状態を保持]オプションにチェックを入れて毎回ユーザー名とパスワードを入力しなくて済むようにする、などが可能になります。そのWebサイトに再びアクセスすると、Webサイトは関連のCookieがデバイス内にあるかどうかをチェックし、その人であると認識し、自動的にアカウントにアクセスできるようにします。

ただし、Cookieに備わっているのは、Webサイトにアクセスする人にとって役立つ機能だけではありません。サービス提供側がユーザーデータを収集し、そのデータに基づいて何かを提案したり、ターゲット広告を表示したりできるようにする機能もあります。そうしたCookieはそのWebサイトの所有者のものである場合もあれば、所有者と提携契約を交わした企業のものである場合もあります。後者はサードパーティCookieと呼ばれ、Cookieは結局のところトラッキングツールなのだと言う人が多いのは、このサードパーティCookieの存在によります。

Cookieは保護の対象となる個人情報を収集するものであるため、多くの国では、ユーザーデータの収集についてユーザーに同意を求めることをWebサイト所有者に義務づける法律および規制を実施しています。その一つが欧州議会および理事会指令2002/58/ECです(リンク先は英語)。Cookieを許可するよう求める小さなウィンドウがこれほど頻繁に表示されるのはそのためです。

すべて受け入れる

Webサイトにアクセスした人は、アクセスした目的を果たそうと、すぐに[OK]や[受け入れる]をクリックするかもしれません。そうすればじゃまなウィンドウが閉じるからです。結果として、どこの誰だかわからない相手によく分からない情報の収集を許可することになるとしても。中には通知内容をきちんと読む人もいるかもしれませんが、次のステップまで進んでCookieの設定まで行う人となると、その数はぐっと少なくなります。

Webサイト側は、できるだけ[すべて受け入れる]をクリックしてもらえるように、[すべて受け入れる]ボタンを大きく目立たせ、[設定をカスタマイズ]ボタンは目立たないようにしがちです。一部WebサイトがCookieの管理を分かりにくくしようとしている点について、すでにプライバシー擁護団体が問題を指摘しています(英語記事)。

Cookieの実験

私たちは、Cookieの設定がどのように機能するかを確かめる実験を行いました。主なチェック項目は以下のとおりです。

  • そのWebサイトは、そのサイトがCookieを使用していることを訪問者に伝えているか
  • 訪問者にはCookieを拒否する選択肢があるか
  • そのWebサイトで訪問者が選択した設定が、保存されるCookieの数にどう影響するか
  • そのWebサイトでCookieを設定する作業は、すぐに簡単にできるようになっているか

実験の対象には、32のWebサイトを選びました。内訳は、マスメディアのサイト(10)、民間企業のサイト(8)、文化団体やスポーツ団体のサイト(4)、教育サイト(4)、政府のサイト(2)、その他のサイト(4)です。

初めてWebサイトにアクセスした人だと判定されるように、Webサイトへアクセスする前にコンピューターからすべてのCookieを消去しました。そうしてWebサイトにアクセスし、Cookieがデバイスに保存されたか、保存された場合はどのCookieが保存されたかをチェックしました。設定にアクセスできるウィンドウが表示された場合は、既定でどのCookieが有効になっていてどのCookieが無効になっているかをチェックしました。

どのWebサイトでもCookieを設定できるようになっているのか

対象の32サイトのうち14のWebサイトでは、Cookieの使用についての通知がなく、Cookieの設定についてのオプションも表示されませんでした。しかも、Webサイトを開くとすぐにデバイスにCookieが保存されました。

続いて、各WebサイトにCookieを管理する何らかの手段が用意されているかどうかを確認しました。その際には、各Webサイトのプライバシーポリシーの内容を精査し、ユーザーデータの収集と使用をやめさせることが(少なくとも理論上は)可能になっているかどうかを確認しました。Webサイトによって、Webサイトの所有者が提携しているマーケティング会社に直接連絡するか、Webサイト管理者にメールを送って追跡しないよう依頼するか、いずれかのオプションが用意されていました。トラッキングから身を守る方法としては、現実的にはとても便利だとはいえません。

Cookieを設定できるようになっている場合は、どうなるのか

調査対象の32のWebサイトのうち18(全体の半分強)で、訪問者がCookieをカスタマイズできるようになっていました。ただしカスタマイズできるのは一部のCookieのみで、「必須」とされるものは削除できないようになっていました。18サイトのうちほとんど(14サイト)は、設定を開くことを面倒だと思わない人にとっては親切な設計で、設定画面で広告Cookieをすぐに無効にできました。

嬉しくないことに、すぐに有無を言わさずCookieを押しつけてきたWebサイトが7サイトありました。すべてのCookieを受け入れるか、まずは設定を見てみるのかを決めるチャンスも与えられないうちに、すでに何らかのデータが記録されていました。

適切な対応をしているWebサイトで意思決定のチャンスを与えられたときは、設定を開き、そのサイトで許可されるCookieをすべて無効にしようとしてみました。そのようにしたところ、最終的に1〜3個のCookieがコンピューターに残りました。すべてのCookieを受け入れたときは、平均で20〜30個のCookieがコンピューターに保存されました。この10倍という差異は、設定を開くべき明白な理由です。

ブラウザーの設定でCookieを無効化する

このように、Webサイトの設定でCookieを拒否できることが分かりました。しかし、毎回設定するのは不便ですし、やがて面倒になってきます。ありがたいことに、解決方法はほかにもあります。ブラウザーの設定で、サードパーティ(つまり、ほとんどが広告)のCookieをブロックするか、すべてのCookieを無効にすることができます。ただし、すべてのCookieを無効にすると一部のWebサイトが正しく動作しなくなることがあるのは確かです。

また、多くのブラウザーに備わっているシークレットモードも利用できます。シークレットモードを使うと、Cookieはインストールされますが、シークレットウィンドウを閉じると自動的に削除されます。やむを得ず自分のものではないコンピューターからWebサイトにアクセスしていて、ブラウザーのCookie設定を自分の一存で決められないときなどに、このモードが役立ちます。

トラッキングするのはCookieだけではない

こうした設定、機能、モードはすべて、他者にトラッキングされないようにする手段です。Cookieの仕組みは分かりましたが、トラッキングを阻止するのに、そうした設定だけで十分なのでしょうか?残念ながら、十分ではありません。Webサイトには、これ以外にもインターネット利用者を追跡する手段が驚くほどたくさん用意されています。

包括的な広告追跡の対策としては別のツールがあります。例えば、カスペルスキー インターネット セキュリティには、追跡をブロックするWebトラッキング防止機能があります。今回の実験で同製品を活用したところ、(ブラウザーでCookieを無効にしたときでも)追跡が行われようとしていることを絶えず通知してブロックしてくれました。結論として、オンラインで誰にもトラッキングされないようにしたいなら、追加の保護ツールを利用した方がよいでしょう。

まとめ

私たちの実験では、最も効果的な対策は、Webサイトごとに設定を調整することではなく、ブラウザーで直接まとめて設定する(設定メニューでCookieをブロックする)ことだと分かりました。必要に応じて、一部のWebサイトを例外に指定することもできます。そして、その他のトラッキングを阻止するには、Webトラッキング防止機能を設定しましょう。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?