オープンソースの広告ブロッカー uBlock Origin を開発している開発者らは、現在のブロック技術を無視してインターネット上の Web ブラウザーを追跡するメカニズムを発見した。
チームは、いわゆるブロック不可能なトラッカーをブロックする方法を開発しましたが、これはFirefoxでのみ機能し、Chromeや他のブラウザは影響を受ける可能性があります。この修正プログラムは現在、uBlock Originユーザーに提供されています。
このトラッカーはブラウザの防御を突破するためにDNSクエリに依存しているため、ドメイン名検索フィルタリングなどの何らかの手段でこのスヌーピングを阻止できる可能性があります。ブラウザと一般的なコンテンツブロッカープラグインだけで武装しているネットユーザーにとっては、このトラッカーは気づかれずに侵入する可能性があります。広告ネットワークや分析ネットワークは、このトラッカーを利用してネットユーザーのウェブ閲覧履歴を指紋で記録し、ユーザーの興味関心に関するプロファイルを密かに構築し、アクセスしたページの数を数える可能性があります。
そして、興味深いことに、これはブラウザメーカーと広告技術企業の間でファーストパーティ Cookie とサードパーティ Cookie をめぐる軍拡競争の結果であるように思われます。
ウー、ララ
これがすべての始まりだった。今月初めのGitHubの問題で、Aeris onlineという名前で知られる開発者が、フランスの新聞ウェブサイトliberation.frが、フランスのマーケティング分析会社Eulerianが作成した「ブロックできないと思われる」トラッカーを使用していると述べた。
なぜそうなるかというと、参照されているドメインが、訪問した Web サイト以外のドメインに関連付けられたサードパーティのページ要素ではなく、Web サイト発行者のドメインに関連付けられたファーストパーティのページ要素であるように見えるからです。
プライバシーへの懸念に応えて、Apple や Mozilla などの企業は、ここ数年、それぞれのブラウザ Safari と Firefox に追跡保護メカニズムを導入し、サードパーティ トラッカーによって設定されるサードパーティ Cookie をデフォルトでブロックし始めました。
多くのマーケターは、トラッキングとデータ収集機能の維持に注力しており、DNS委任またはDNSエイリアシングと呼ばれる手法に注目しています。これは、ウェブサイト運営者にサードパーティのアナリティクスプロバイダーが使用できるサブドメインを委任させ、CNAME DNSレコードを使用して外部サーバーにエイリアスを設定するものです。これにより、ウェブサイトと外部トラッカーはブラウザ上で同じドメインからアクセスしているように見え、動作が許可されます。
オイラー社はウェブサイトで、「収集は第三者ではなく広告主の名前で行われ、広告ブロッカーもブラウザもタグの呼び出しを中断しません」と説明している。
でも待って、まだある
別のマーケティング分析企業である Wizaly も、Apple の ITP 2.2 プライバシー保護を回避するためにこの手法を推奨しています。
Adobe も同様で、同社の Web サイトでは、データ収集における CNAME レコードの利点の 1 つは、「サードパーティの Cookie を受け入れないブラウザで、メインのランディング ドメインとその他のドメイン間の訪問者を追跡できること」であると説明しています。
エアリス社はThe Registerとのインタビューで、広告リターゲティング企業のCriteoが最近、この手法を顧客に導入した模様だと述べた。これは、この手法が今後さらに普及していくことを示唆している。エアリス社はさらに、DNS委任は欧州のGDPRに明らかに違反しており、「『ユーザー中心のトラッキング』には、特にサードパーティのサービス利用の場合、同意が必要であると明確に規定されている」と付け加えた。
ドイツのハンブルク市データ保護・情報公開局の最近の声明では、Google Analytics や類似のサービスは同意を得た場合にのみ使用できると述べられています。
「この脆弱性は以前から存在していたが、ファーストパーティCookieを装うことができれば、広告ブロッカーやChrome、Safari、Firefoxといった主要ブラウザによるブロックを回避できるため、今特に有用である」と、企業にオンラインマーケティングのアドバイスを行うサイバーセキュリティおよび広告詐欺の研究者、オーガスティン・フー氏はThe Registerへの電子メールで述べた。
これは単なる「うっかりミス」ではなく、エクスプロイトです。なぜなら、プライバシー規制と消費者の選択を回避するために、サードパーティのCookieをファーストパーティのCookieのように見せかける、隠された意図的な行為だからです。これは、金の川を守るために悪質なテクノロジー産業複合体の、またしても例です。
レジスター紙はオイラーン氏にコメントを求めたが、今のところ返答はない。
Mozillaは、Firefoxは広告ブロッカーを無効にすることはないと述べている。ある広告大手ブラウザとは違って
続きを読む
DNSレコードを利用してサードパーティのドメインをファーストパーティのドメインのように見せかける手法は、フランスの研究機関Inriaの研究者であるLukasz Olejnik氏とClaude Castelluccia氏による2014年の論文で既に報告されています。この手法は、German Gomez氏、Julian Yalaju氏、Mario Garcia氏、Chris Hoofnagle氏による2010年の学術研究論文「Cookie Blocking and Privacy: First Parties Remain a Risk(Cookieブロックとプライバシー:ファーストパーティは依然としてリスク)」でも論じられています。
2日前、uBlock Originの開発元であるRaymond Hill氏は、Firefoxユーザー向けにuBlock Origin v1.24.1b0の修正プログラムを導入しました。FirefoxはDNSレコードのホスト名を解決するためのAPIをサポートしており、CNAMEの不正行為を暴くことができるため、開発者はそれに応じたブロック動作を設計できます。
「uBO は現在、Firefox の browser.dns が許す限り、ファーストパーティを装ったサードパーティに対処できるようになっています」と Hill 氏は書き、Chrome には同等の DNS 解決 API がないため、現時点では Chrome ではこれを修正できないと考えていると付け加えた。
Aeris氏は、「ChromeではDNS APIが利用できないため、これを簡単に検出することはできない」と述べ、Googleの拡張機能プラットフォームの改訂版であるManifest v3を搭載したChromeではuBOが機能しなくなると付け加えた。uBOの開発者であるHill氏は最近、The Registerに対し、依然としてこの状況が続いていることを認めた。
たとえ Chrome が DNS 解決 API を実装したとしても、Google は広告ビジネスのために、ウェブ上で人々を追跡し、Cookie を配置する機能を維持したいと明言しています。
Safari による分析データ提供を拒否されたことに対するマーケティング担当者の不安に対する Apple の回答は、64 種類の異なる広告キャンペーン識別子を許可するプライバシー保護型の広告クリック属性スキームを提案することだった。これにより、マーケティング担当者はどのキャンペーンが効果的であったかを確認できる。
Google の代替提案は、「プライバシー サンドボックス」イニシアチブの一部であり、整数 64 よりはるかに大きい64 ビットのデータを格納できる識別子フィールドを求めています。
電子フロンティア財団が指摘しているように、これにより 1800 京に及ぶ数字の範囲が可能になり、広告主は配信する広告インプレッションごとに固有の ID を作成し、その情報を個々のユーザーに関連付けることができます。®
