この記事では、Webトラッキングの仕組みや、トラッキングにおけるセキュリティリスク、そしてWebトラッキングよる追跡を防止する方法をご紹介します。
トラッキングとは?
トラッキングとは、ウェブサイトの運営者や第三者が、ユーザー(訪問者)がサイト内のどのページを閲覧しているかを追跡·分析することを言います。ユーザーの行動を分析することで、サイト運営者がサイト内のコンテンツを更新·改善したり、広告主がユーザーの興味に合わせてコンテンツを提供したりと、マーケティング効果を高めることができます。
トラッキングに関する用語で「トラッカー」と「トラッキング情報」があります。トラッカーとは、ウェブ上でのユーザーの行動を分析するために使用されるプログラムの総称です。また、トラッキング情報とは、トラッキングを行うための広告に設定されているURLやパラメータのことを指しています。
トラッキングについてより深く理解するには、「Cookie(クッキー)」についても知る必要があります。Cookieとは簡潔に言うと、ユーザーのウェブブラウザに保存される非常に小さなテキストファイルです。インターネットの送受信プロトコルである HTTP は、ファイルを転送するためのプロトコルなので、ウェブページの状態の変化を記録することはできません。そこで、ウェブサーバーとブラウザの間で状態を管理するために利用されるのがCookieです。
また、 トラッキングCookie とは、ウェブサイトが発行するCookieの一種で、ユーザーのコンピュータに送信されるものです。ウェブページに埋め込まれたバナーの広告主が、ユーザーのアクセス履歴を収集するためによく使います。
元々ウェブページの状態を管理するために使われていたCookieは、ネット広告やマーケティング手法の変化に伴い、ユーザーのアクセス履歴や行動の分析に徐々に転用され、一般化したのです。
ファーストパーティーとサードパーティーのトラッキングの違い
ファーストパーティーのトラッキングとは、ウェブサイトの運営者や企業がユーザーの行動を追跡することを指します。このタイプのトラッキングでは、ユーザーが通常好むコンテンツの種類、使用言語、所在地、ユーザーが共有する情報などが記録されます。トラッキングのためにファーストパーティーCookieが発行され、ユーザーはユーザー名とパスワードを再入力することなくページにログインすることができ、ウェブサイトの運営者はユーザーの訪問情報や履歴を分析してより良いコンテンツを作成することができます。一般的にファーストパーティーによる追跡は、あまり心配する必要はありません。
サードパーティーのトラッキングとは、ウェブサイトの運営者以外の第三者が、ウェブサイトでのユーザーの行動を追跡することです。たとえば、ニュースサイトでコンテンツを読んでいる時、そのサイトがサードパーティーCookieを大量に読み込んでいて、そのサイトや今後アクセスする可能性のある他のサイトでのあなたの行動が追跡されています。サードパーティーのトラッキングは、広告主がユーザーの好みに合わせて広告を作成するためによく使われるものですが、ユーザーが知らない間に情報を収集されていることが多いです。
ウェブサイトがトラッキングできるデータは?
一般的には、以下のデータがウェブサイトでトラッキングされていると言われています。
- 電子メールアドレス
- ユーザーのログイン情報
- 検索履歴
- ユーザーが訪問したウェブサイト
- ウェブサイトでの滞在時間
- ユーザーの所在地
- ユーザーのIPアドレス
- ユーザーのデバイスの種類と構成
- ユーザーのデバイス上で実行されているスクリプト、アプリケーション、およびプラグイン
- クレジットカード情報など
トラッキングの目的
多くの企業にとって、顧客のデータは非常に貴重です。企業は、顧客に関する知識があれば、好みに合わせてアプリをカスタマイズしたり、顧客が興味を持ちそうな情報を発信したりすることができます。
ここからは、どのような場面でトラッキング技術やCookieが使われるのか紹介していきます。
オンラインショップ
オンラインショップ(ECサイト)では、ユーザーにより多くの商品を販売するためにウェブトラッキングを使用しています。オンラインショップでは、ユーザーの行動が記録、測定、分析され、ウェブサイトを最適化して売上を伸ばすための継続的なプロセスが行われています。
多くのオンラインショップでは、ソフトウェアを使用して顧客データを管理し、収集した情報をもとに、効果的なキャンペーンを打ち出したり、広告の配信をしたりしています。
広告
ウェブサイトにアクセスした際に「当社では、お客様のウェブサイトでの体験を向上させるためにCookieを使用しています」というメッセージが表示されたことはありませんか?もし、このようなメッセージを目にしたことがあるなら、そのCookieはターゲット広告に使われているかもしれません。
これらの広告は、「関連性のある」「ターゲットを絞った」「パーソナライズされた」などと表現され、広告提供者はCookieのデータを使用して、ユーザーが興味を持つ可能性の高い広告を打ち出しています。
アクセス解析
アクセス解析とは、ウェブサイト上での訪問者の行動を調査することです。前述のオンラインショップでのWebトラッキングの利用は、アクセス解析の一例ですが、どのようなウェブサイトでもトラッキングとアクセス解析を取り入れられます。
アクセス解析を行うことで、ウェブサイトを訪れたユーザーの行動を分析することができます。具体的には、ユーザーがウェブサイトのどのページにアクセスしたか、どのくらいの時間滞在したのかを知ることができます。そのような情報を把握することで、企業はユーザーがどのような商品·サービスに興味を持っているかを把握することができます。
ユーザビリティテスト
ユーザビリティテストとは、ユーザーが実際にアプリやウェブサイトを使い、長所や短所を評価する手法です。一般的なユーザビリティテストでは、ユーザーがWebサイトを操作したり、アプリでいくつかのタスクを実行したりします。
Web制作やアプリ開発の担当者は、ウェブトラッキング技術を使って得た貴重なデータ使い、ユーザーの好みに合わせてコンテンツやデザインを調整します。
トラッキングの仕組み
トラッキングの目的がわかると、「Webサイトはどのようにしてユーザーを追跡しているのか?」という疑問がわいてくるかもしれません。ここからは、最も広く使用されているWebトラッキング技術を詳しく見ていきます。
IPアドレスのトラッキング
IPアドレスとは、インターネット上のデバイスを識別するための数字です。使用しているコンピュータ、スマートフォン、ルーターだけでなく、ウェブサイトやサービスを提供するサーバーにも、IPアドレスが割り当てられています。IPアドレスは、ウェブトラフィックが目的の場所に配信されることを保証するもので、インターネットの構造上、不可欠なものです。
IPアドレスからユーザーの大まかな位置情報がわかるため、ウェブサイト管理者はIPアドレスのトラッキングを利用して、ユーザーがどのエリアでアクセスしているのかを把握することが可能です。また、IPアドレスを利用して、ユーザーの行動パターンを特定したり、同一人物による繰り返しの訪問があるかどうかを判断したりすることもできます。
トラッキングCookie
ブラウザのトラッキングで最もよく知られているのは、おそらくトラッキングCookieでしょう。トラッキングCookieとは、ユーザーがCookieを使用しているウェブサイトにアクセスしたときに、ユーザーのブラウザに保存される小さなコードの断片です。
Cookieには前述したように「ファーストパーティーCookie」と」「サードパーティーCookie」の2種類がありますが、ファーストパーティーCookieはサイト運営者が作成しサイトでのユーザー体験向上に役立てるのに対し、サードパーティーCookieはユーザーがアクセスしているウェブサイト以外の第三者によって作成されます。
ウェブビーコン
ウェブビーコンとは、ウェブサイトや電子メールでのユーザーの行動を取得するために埋め込んでいる小さな画像のようなもので、目には見えませんが、ユーザーが何をしているかを監視しています。
ウェブビーコンはCookieと同様、ウェブサイトの分析や広告目的で使用され、企業はウェブビーコンで得た情報をもとに、ユーザーの行動や好みに合わせてサービスや商品を提供します。
ブラウザフィンガープリント
ブラウザフィンガープリントとは、WebサイトがWebブラウザに要求して取得できる訪問者のコンピュータとブラウザに関するデータのことで、固有の訪問者を識別するために利用されます。ブラウザフィンガープリントで取得できるデータには、使用言語、タイムゾーン、インストールされているプラグイン、ブラウザの種類とバージョン、OSの種類とバージョン、画面の解像度、使用可能なフォント、フォントの設定などがあります。
複数のユーザーがまったく同じブラウザデータを持つ可能性は非常に低いため、この一連のデータが「ブラウザフィンガープリント(ブラウザの指紋)」と言われているのです。ブラウザフィンガープリントを利用すると、ウェブサイトの運営者はユーザーがアクセスするたびに行動を追跡することができます。
また、ブラウザフィンガープリント技術のひとつで、比較的新しいのが「Canvas Fingerprint」です。HTMLコーディング言語の最新版であるHTML5には「Canvas」という図形描画機能がありますが、Canvas FingerprintはそのCanvasを利用した強力なフィンガープリントツールです。
Canvas Fingerprintは、Webブラウザに隠し画像を描くように命令し、この画像が「指紋」として使われます。Webブラウザが隠し画像を描画すると、その情報がウェブサイトに送信されます。ウェブサイトは、ユーザーの固有画像を使ってコンピュータに一定の番号を割り当て、それを使ってターゲット広告を打つことが可能になります。
Canvasには多くの正当な用途があるため、Canvasを完全にブロックすることは効果的なトラッキング対策にはなりません。また、簡単にブロックしたり削除したりできるトラッキングCookieとは異なり、Canvas Fingerprintは回避するのが最も困難なトラッキング手法の1つと言われています。
スマートフォンのアプリ
スマートフォンのアプリをインストールすると、端末内の情報にアクセスする許可を求められます。この情報には、 位置情報 、カメラ、カメラロールなどが含まれます。スマートフォンのアプリは、これらの情報を利用してユーザーを追跡することが可能です。
広告識別子(広告ID)
広告識別子とは、スマートフォン端末を識別するために生成される一意の英数字の組み合わせ(ID)のことで、広告を配信する際に使用されます。この広告識別子は、ユーザーの端末にアプリケーションをインストールする際に取得できます。インストールされると、端末から送信される情報をもとに、ユーザーの行動を追跡することができます。ただし、この広告識別子は一時的なものであり、ユーザーが自由にリセットすることができるため、完全に個人を特定できるわけではありません。
SensorID
比較的新しい概念であるSensorIDは、スマートフォンの加速度計、磁力センサー、ジャイロセンサーなどのセンサー情報から読み取れるIDです。こうしたデータには特別な許可がなくてもアクセスできるため、より気づかれにくい状態でユーザーの行動をトラッキングできるという特徴があります。
トラッキングにおけるセキュリティリスク
トラッキングによるセキュリティリスクとして代表的なのは、「セッションハイジャック」と「セッションフィクセーション」です。ここからは、それぞれの特徴について解説します。
セッションハイジャック
セッションハイジャック とは、Webサーバーとブラウザ間の通信過程で、悪意のある第三者が クロスサイトスクリプティング (XSS)などの攻撃によってターゲットのCookieを盗み、そのターゲットになりすまして不正なアクセスを行うサイバー攻撃の一種です。
ハッカーは、このセッションハイジャックによって、ユーザーのクレジットカード情報や個人情報を簡単に盗むことができます。
セッションフィクセーション
セッションフィクセーションとは、ハッカーが事前に用意したセッションIDをターゲットに利用させることでWebサイトやアプリケーションのセッションIDを乗っ取り、ハッカーが正規のユーザーになりすますというサイバー攻撃の手法です。
セッションフィクセーションによって、クレジットカード情報を盗まれたり、知らないうちにオンラインストアで買い物をされたりするという被害が生じます。
過剰なトラッキングを拒否する方法
AppleのiOS14/iPadOS14以降を搭載した端末だと、ユーザーの行動の追跡·分析を制限する「アンチトラッキング機能」が有効になっています。しかし、Apple以外の端末を利用している人や、サイバーセキュリティを強化したい人は、自力でトラッキングを阻止する必要があります。
ここからは、トラッキングCookieやウェブビーコンを削除したり、トラッキングブロックをしたりして、プライバシーを守るための方法をいくつかご紹介します。
広告ブロックツールを使う
「 広告ブロック 」ツールの中には、トラッキングをブロックする機能を持つものもあります。トラッキングを控えめにしたい場合は、そのようなツールを積極的に活用しましょう。
クッキーを定期的に消去する
定期的にCookieやブラウザ履歴を削除することを習慣づけましょう。これらのファイルを削除することで、ブラウザをスムーズに動作させることができます。また、ブラウザ履歴を削除することで、あなたがオンラインで何をしているかを第三者に知られないようにすることができます。
ただし、これらの方法はトラッキング対策としては一時的なものということに注意しましょう。Webブラウジングを再開すると、訪問したウェブサイトはCookieを再びブラウザに読み込みます。
使用しているブラウザの設定を変更する
ほとんどの主要なブラウザは、基本的なウェブトラッキング保護機能をすでに備えています。FirefoxとSafariはデフォルトでサードパーティーのCookieをブロックしており、ChromeとEdgeも同様にブロックするように設定することができます。
また、いくつかのブラウザには「トラッキング拒否機能」と呼ばれる機能があります。これは、ウェブサイトにアクセスするたびに、閲覧データを収集·追跡しないことを指定するリクエストを送信できる機能です。しかし、トラッキング拒否機能のデメリットとして、ほとんどのウェブサイトはこのリクエストを無視できるという特徴があります。
安全なブラウザに切り替える
前述の通り、ほとんどの主要なブラウザには、トラッキング防止機能が組み込まれています。ここでのトラッキング防止機能とは、プライバシー保護のために、ユーザーの行動を追跡·分析するためのトラッキングを制限する機能を言います。
また、 安全なブラウザ の中には、広告やウェブトラッキングをブロックするだけでなく、暗号化とアンチフィッシング技術で、オンラインセキュリティをより強化してくれるものもあります。
また、どうしても普段使っているブラウザを利用したい場合は、 シークレットモード (プライベートブラウジングモード)を活用しましょう。
安全な検索エンジンに切り替える
普段利用している検索エンジンから、プライバシーに配慮している安全なものに変えることで、プライバシーを最大限に確保することができます。 安全な検索エンジン として有名なのは、「DuckDuckGo」「StartPage」「SearchEncrypt」などです。
ウイルス対策ソフトを使用する
上記で紹介した方法でトラッキング対策をしても、端末自体が マルウェア に感染していては意味がありません。安心してオンラインでやり取りをするために、たとえばNordVPNの 脅威対策Pro などのウイルス対策を利用するといいでしょう。
VPNを使用する
VPN接続 とは、インターネット上に仮想の専用線を設置することで、重要な情報を安全な経路でやりとりし、悪意のある第三者による機密情報の覗き見や盗難などの脅威から守ることができる仕組みです。
VPN自体は、Cookieによるトラッキングを防ぐことはできません。ただし、VPNを使って海外のサーバーに接続すれば新しいIPアドレスを取得できるため、トラッキングCookieに偽の情報を与えることができます。
さらに、公共のフリーWi-Fiを使用する必要がある場合も、VPNが便利です。VPNの仮想専用線のおかげで、あなたが送受信するデータを暗号化してくれるので、インターネット上での安全性が維持される上に、ハッカーがあなたのセッションを奪えないようにします。
また、NordVPNはVPN接続だけでなく、悪意のあるウェブサイトへのアクセスを防ぎ、トラッキングCookieや 不要な広告をブロック する「 脅威対策Pro機能 」も備えています。
ワンクリックでオンラインセキュリティ対策を。
世界をリードするVPNで安全を確保