Webトラッキングとは？その仕組みとリスクについて

想像してみてください。あなたがショッピングモールに入るやいなや、誰かにつけ回されるという状況を。その人は、あなたが入った店について細かくメモを取り、あなたがチラシを手に取れば、あなたがそれをちゃんと読んでいるかどうかを肩越しに観察しようとします。店にいる間は、あなたが特定の棚をどのくらいみていたか、正確な時間をストップウォッチで測定します。まさか、そんなことをする人がいるわけがないと思いますよね。しかし、主要なWebサイトを閲覧したり、オンラインストアやサービスからのメールを表示したり、公式モバイルアプリを使用したりするたびに、上述の行為と全く同じようなことがネット上で行われています。「ストップウォッチを持っている人」に当たるのは、ほぼ全てのWebサイト、アプリ、メールキャンペーンに接続されている解析システムです。

企業はなぜこのようなデータを必要としているのでしょうか。理由はいくつもあります。

• ユーザーの嗜好をよく知るため、買いそうな商品やサービスを提案するため。あなたがプロの競輪選手の公式サイトを閲覧してから2か月間、どのページにもうんざりするほど自転車の広告が表示されたのはこのためです。
• Webサイトやメールに効果の高いテキストや画像を追加するため。企業はさまざまなキャプション、ヘッダー、バナーのオプションをテストして、顧客の注目度が高いものを選びます。
• モバイルアプリやWebサイトで最も人気の高いセクションと、そこでユーザーがどのような操作を行うかを特定するため。
• 新しい商品、サービス、機能をテストするため。
• ユーザーの行動や嗜好・関心のデータを他の企業に販売するため。

SECURELISTの詳細な記事で、カスペルスキーは最も活発なWebトラッキングの統計情報について調べました。その結果、他を大きく引き離すほど貪欲にユーザーの（あなたの）データを求めていたのは、Google、Microsoft、Amazonでした。

Webビーコンとトラッキングピクセルの仕組み

前述のトラッキングは、Webビーコンに基づいて実行されます。Webビーコンは、トラッキングピクセルやスパイピクセルとも呼ばれます。最もよく利用されるトラッキング技術は、小さい（サイズが1×1、場合によっては0x0ピクセルなどの、小さすぎて目視で確認できない）画像をメール、アプリ、またはWebページに挿入するものです。メールクライアントまたはブラウザーによって画面に情報が表示される際、メールクライアントまたはブラウザーは、ユーザーに関する情報を転送することで、サーバーからの画像ダウンロードを要求します。この情報は、時刻、使用デバイス、OS、ブラウザーの種類、ピクセルをダウンロードしたページなどで、これらの情報はサーバーに記録されます。このような仕組みによって、ビーコンの運用者は、ユーザーがメールまたはWebページを表示したこと、そしてその方法を把握します。Webページ内ではピクセルの代わりに小さいコード（JavaScript）が使用されることもよくあり、この場合はさらに詳しい情報を収集できます。どちらの方法でも、トラッキングツールをメールやWebサイトで表示する方法はありません。つまりユーザーは全く見ることができないのです。それにもかかわらず、各ページやアプリ画面に配置されているビーコンは、ユーザーの操作履歴やその各段階で費やした時間をトラッキングすることで、「あなたをつけ回す」ことができます。

サイバー犯罪者とWebビーコン

Webビーコンを使用しているのは、マーケティング代理店やIT企業だけではありません。サイバー犯罪者も使用しています。Webビーコンは、（スピアフィッシング、ビジネスメール詐欺などの）標的型メール攻撃の事前調査の方法としてもってこいです。Webビーコンによってサイバー詐欺師は、ターゲットとしている人がメールをチェックする（またはしない）時間を特定できるので、攻撃に最適なタイミングを選ぶことができます。これでユーザーのアカウントをハッキングしたり、ユーザーがオフラインの間にその名をかたって偽メールを送信したりするのが容易になります。

ユーザー情報（行動データや興味・関心についてのデータを含む）は、ハッカー攻撃を受けて漏洩することもあります。Mailchimp、Klaviyo、ActiveCampaignといった業界のリーダーでさえ、時にこの種の漏えいを経験しています。盗まれた情報は、さまざまな詐欺に悪用されます。たとえば、Klaviyoを攻撃したハッカーは、仮想通貨投資に関心を持つユーザーのリストを盗みました。このリストのユーザーを標的に仮想通貨をだまし取ることを目的としたフィッシング攻撃が行われる可能性があります。

トラッキングを防ぐ方法

私たちには漏えいやハッキングをコントロールすることはできませんが、IT大手のサーバーから収集されるデータを可能な限り最小限にすることはできます。以下のヒントは、単独で、または組み合わせて使用できます。

1. メール内の自動画像読み込みをブロックする。携帯電話、コンピューター、Webベースのクライアントでメールを設定する際は、自動画像表示をブロックする設定を有効にしていることを確認します。ほとんどのメールの内容は、画像なしでも把握できます。多くのメールクライアントでは、メール本文の右上に「画像表示」のボタンが追加されるので、必要な場合はワンクリックで画像を読み込めます。
2. Webトラッキングツールをブロックする。ほとんどのWebビーコンは、読み込みの防止が可能です。カスペルスキーのセキュリティ製品にはWebトラッキングを防止するプライベートブラウズ設定があります。たとえばFirefoxブラウザーでは、強化型トラッキング防止機能を有効にし、細かく設定できます。この目的のプライバシープラグインは、Chrome、Firefox、Safariで公式に推奨されている拡張機能のカタログで見つかります。検索バーで「プライバシー」または「トラッキング防止」と入力してみてください。
3. インターネット接続を保護する。トラッキング防止は、オペレーティングシステムまたはホームルーターレベルで設定するのがお勧めです。Webビーコンは、ルーターでブロックされた場合、メールとWebページだけでなく、アプリ内やスマートTVでも機能を停止します。その方法として、オペレーティングシステムまたはルーター設定でセキュアDNSを有効化し、トラッキングツールをブロックするDNSサーバーを指定することをお勧めします。一部のVPN接続でもトラッキング防止が可能です。こちらのほうが都合がいい場合は、VPNプロバイダーが実際にトラッキングツール防止サービスを提供していることを確認してみてください。